Header-grossesschiff

Telefon  +49 6126 710 796 0

Dynamische Sicherheitsgruppen im Active Directory anlegen

Mit Dynamischen Sicherheitsgruppen können Gruppenmitgliedschaften automatisch zu Benutzerobjekten hinzugefügt oder auch entfernt werden. Dies erfolgt allein durch die Änderung von Attributen der Benutzerobjekte. Auf Basis von LDAP-Filterregeln können die Gruppenmitgliedschaften regelmäßig überprüft und automatisiert angepasst werden.

FirstWare-DynamicGroup ermöglicht die Nutzung von dynamischen Gruppen zur Automatisierung der Berechtigungsverwaltung in Active Directory Umgebungen.

Active Directory dynamische Sicherheitsgruppen
DynamicGroup Download DynamicGroup Details

 

Szenarien und Anwendungsgebiete
 

Ausgangssituation AD Gruppenverwaltung

Viele Unternehmen bilden ihre Organisationsform und damit die Ebenen der Abteilungen über Active Directory Gruppen ab. Somit können Berechtigungen an alle Mitarbeiter einer bestimmten Abteilung vergeben werden. Fängt ein neuer Kollege in einer Abteilung an oder wechselt die Abteilung, wird er in die entsprechende Abteilungsgruppe aufgenommen und hat somit die gleichen Berechtigungen, wie alle anderen Kollegen dieser Abteilung.

Hier besteht das Risiko, dass Mitarbeiter im Lauf der Zeit zu viele Berechtigungen erhalten haben, da sie im Zuge eines Abteilungswechsels nicht wieder aus der ursprünglichen Abteilungsgruppe heraus genommen worden sind.

In der Praxis werden neue Benutzerkonten häufig durch das Kopieren eines bestehenden Benutzerkontos erzeugt. Sollte als Quelle ein Benutzerkonto ausgewählt worden sein, welches bereits zu viele Berechtigungen besitzt, wird diese Überberechtigung direkt an den neuen Kollegen übertragen.

DynamicGroup-Create a dynamic group

Mit FirstWare-DynamicGroup werden die Gruppenmitgliedschaften automatisiert auf Basis von Benutzereigenschaften verwaltet. Sobald die über einen LDAP-Filter definierte Bedingung nicht mehr erfüllt ist, wird das entsprechende Benutzerobjekt aus der Gruppe entfernt.


Automatisierte Verwaltung von Abteilungsgruppen


Zur Vergabe von Berechtigungen werden in der Regel Domänenlokale Gruppen verwendet, welche direkt auf die Ressourcen berechtigt werden. Globale Gruppen hingegen werden verwendet, um z.B. die Organisationstruktur eines Unternehmens abzubilden. Die Globalen Gruppen können dann zur Berechtigungsvergabe in die Berechtigungsgruppen aufgenommen werden. Somit können sehr einfach Abteilungsgruppen als globale Gruppen erstellt werden. Alle Mitarbeiter einer bestimmten Abteilung werden dann in diese globale Gruppe aufgenommen.

Mit DynamicGroup erstellen Sie einen LDAP-Filter und ordnen alle Mitarbeiter einer bestimmten Abteilungsgruppe zu. Als Basis wird das Attribut Department der Benutzerobjekte verwendet.

Der Filter sieht dann wie folgt aus:

DynamicGroup-LDAP-Filter-Department

Automatisierte Verwaltung von Standort-Gruppen

Viele AD-Administratoren pflegen Standort-Gruppen, in denen alle Benutzerobjekte der jeweiligen Mitarbeiter eines Standorts aufgenommen werden. Diese Gruppen können dann für standortbezogene Berechtigungen auf allgemeine Dateifreigaben, Drucker oder sonstige Ressourcen berechtigt werden.

Zur Realisierung einer dynamischen Gruppe auf Standortebene wird die Search-Root der dynamischen Gruppe auf die jeweilige Standort-OU des Active Directories gesetzt:

DynamicGroup-SearchRoot

Zusätzlich wird der LDAP-Filter der dynamischen Gruppe so konfiguriert, dass alle Benutzerobjekte in diese Gruppe aufgenommen werden:

DynamicGroup-Standort Gruppen

Automatisierte Verwaltung der Firmenzugehörigkeiten durch Gruppenmitgliedschaften

Sofern innerhalb eines Active Directories mehr als ein Unternehmen verwaltet, wird, bietet es sich an, dass man für jedes Unternehmen eine dynamische Gruppe bildet, welche zur Vergabe von Berechtigungen oder gleichzeitig auch als Basis für Mail-Verteilerlisten dienen können. da wir mehr als ein Unternehmen verwalten, könnte es vorkommen, dass zwei Unternehmen die gleichen Abteilungsbezeichnungen verwenden.

Die Konfiguration des LDAP-Filters für eine Abteilung, die einem bestimmten Unternehmen angehört, könnte wie folgt aussehen:

DynamicGroup-LDAP-Filter-CompanyDepartment

Automatisierte Auflösung von Verschachtelungen in Active Directory Gruppen

Die Verschachtelung von Gruppen stellt für die Administration des Active Directories ein nicht zu unterschätzendes Problem dar. Wenn ein Administrator eine Berechtigung prüfen möchte, ist er häufig gezwungen, sich die Mitgliedschaften von mehreren Gruppen anzusehen, um in Erfahrung zu bringen, über welchen Weg ein bestimmter Benutzer zu einer bestimmten Berechtigung gekommen ist. 

Mit DynamicGroup können Sie die Verschachtelung von Gruppenmitgliedschaften automatisiert aufheben, indem die Software regelmäßig prüft, ob in einer dynamischen Gruppe weitere Gruppen aufgenommen worden sind.

Sollte dies der Fall sein, werden die Gruppenmitgliedschaften automatisch analysiert und alle Benutzer als einzelne Objekte in die Gruppe aufgenommen. Das Gruppenobjekt wird anschließend aus dieser Gruppe entfernt.

Hierzu wird in der Konfiguration der dynamischen Gruppe die Option Flat-Group aktiviert:

DynamicGroup-FlatGroup

weitere Informationen

Sollten wir Ihr Interesse an einer automatisierten Verwaltung von Gruppenmitlgiedschaften in Active Directory Umgebungen geweckt haben, würden wir uns über Ihre Kontaktaufnahme sehr freuen.

Produkt -Infos Demo -anfordern

News

  • Active Directory Consulting Dortmund

    AD Consulting, Migration und Identity Management von Dortmund bis Bielefeld

    mehr...
  • Active Directory Inter-Forest-Migration mit ADMT

    Zusammenführung von User Accounts in Düsseldorf

    mehr...
  • AD Konsolidierung im Rhein-Main-Gebiet

    AD Migrationen mit Dell Migration Manager for Active Directory

    mehr...
  • DynamicGroup 2015 Release

    FirstWare-DynamicGroup 2015 veröffentlicht

    mehr...
  • AD Spezialisten in Frankfurt unterwegs

    Laufende AD Consultants in Frankfurt

    mehr...
  • Active Directory Consulting in München

    Identity Management mit AD Schwerpunkt

    mehr...
  • AD Konsolidierung und DFS Einführung in Hamburg

    Active Directory Consulting Projekt im Bankenumfeld.

    mehr...
  • Identity Management für den Mittelstand (KMU)

    Active Directory als zentrales Identity Management für Mittelstand (KMU) einsetzen.

    mehr...
  • Exchange Adressbuchverwaltung per Weboberfläche

    Delegation der Exchange Adressbuchverwaltung per Weboberfläche

    mehr...
  • Cloud Integration am Beispiel von Office 365

    Integration von Cloud Angeboten in das Unternehmensnetzwerk am Beispiel von Office 365.

    mehr...

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum