Dynamische Sicherheitsgruppen im Active Directory anlegen
Dank Dynamischer Sicherheitsgruppen werden Gruppenmitgliedschaften automatisch zu Benutzerobjekten hinzugefügt oder entfernt. Dies erfolgt allein durch die Änderung von Attributen der Benutzerobjekte.
Index
FirstWare DynamicGroup
FirstWare DynamicGroup ermöglicht die Nutzung von dynamischen Sicherheitsgruppen zur Automatisierung der Berechtigungsverwaltung in Active Directory Umgebungen.
Auf Basis von Attributen, OUs und LDAP-Filterregeln können die Gruppenmitgliedschaften regelmäßig überprüft und automatisiert angepasst werden.
Szenarien aus der Praxis
Viele Unternehmen bilden ihre Organisationsform und damit die Ebenen der Abteilungen über Active Directory Gruppen ab. Somit können Berechtigungen an alle Mitarbeiter, einer bestimmten Abteilung vergeben werden. Fängt ein neuer Kollege in einer Abteilung an oder wechselt in eine andere, wird er in die entsprechende Abteilungsgruppe aufgenommen. Somit hat der neue Mitarbeiter die gleichen Berechtigungen, wie alle anderen Kollegen in dieser Abteilung.
Hier besteht das Risiko, dass Mitarbeiter im Lauf der Zeit zu viele Berechtigungen erhalten. Im Zuge eines Abteilungswechsels sind sie nicht wieder aus der ursprünglichen Abteilungsgruppe herausgenommen worden.
In der Praxis werden neue Benutzerkonten häufig durch das Kopieren eines bestehenden Benutzerkontos erzeugt. Sollte als Quelle ein Benutzerkonto ausgewählt worden sein, welches bereits zu viele Berechtigungen besitzt, wird diese Überberechtigung direkt an den neuen Kollegen übertragen.
Mit FirstWare DynamicGroup werden die Gruppenmitgliedschaften automatisiert auf Basis von Benutzereigenschaften verwaltet. Sobald die über einen LDAP-Filter definierte Bedingung nicht mehr erfüllt ist, wird das entsprechende Benutzerobjekt aus der Gruppe entfernt.
Video: Dynamische Gruppen in Active Directory
Anwendungsgebiete in Unternehmen
Automatisierte Verwaltung von Abteilungsgruppen
Video: Dynamische Abteilungsgruppe anlegen
Zur Vergabe von Berechtigungen werden in der Regel domänenlokale Gruppen verwendet. Diese werden direkt auf die Ressourcen berechtigt. Globale Gruppen hingegen werden verwendet, um z.B. die Organisationsstruktur eines Unternehmens abzubilden. Die Globalen Gruppen können dann zur Berechtigungsvergabe in die Berechtigungsgruppen aufgenommen werden. Somit können sehr einfach Abteilungsgruppen als globale Gruppen erstellt werden. Alle Mitarbeiter einer bestimmten Abteilung werden dann in diese globale Gruppe aufgenommen.
Mit DynamicGroup erstellen Sie einen LDAP-Filter und ordnen alle Mitarbeiter einer bestimmten Abteilungsgruppe zu. Als Basis wird das Attribut Department der Benutzerobjekte verwendet.
Der Filter sieht dann wie folgt aus:
Automatisierte Verwaltung der Firmenzugehörigkeiten durch Gruppenmitgliedschaften
Sofern innerhalb eines Active Directorys mehr als ein Unternehmen verwaltet wird, bietet es sich an, für jedes Unternehmen eine dynamische Gruppe zu bilden. Diese kann zur Vergabe von Berechtigungen oder gleichzeitig auch als Basis für Mail-Verteilerlisten dienen. Da wir mehr als ein Unternehmen verwalten, könnte es vorkommen, dass zwei Unternehmen die gleichen Abteilungsbezeichnungen verwenden.
Die Konfiguration des LDAP-Filters für eine Abteilung, die einem bestimmten Unternehmen angehört, könnte wie folgt aussehen:
Automatisierte Verwaltung von Standort-Gruppen
Viele AD-Administratoren pflegen Standort-Gruppen, in denen alle Benutzerobjekte der jeweiligen Mitarbeiter eines Standorts aufgenommen werden. Diese Gruppen können dann für standortbezogene Berechtigungen auf allgemeine Dateifreigaben, Drucker oder sonstige Ressourcen berechtigt werden.
Zur Realisierung einer dynamischen Gruppe auf Standortebene wird die Search-Root der dynamischen Gruppe auf die jeweilige Standort-OU des Active Directorys gesetzt:
Zusätzlich wird der LDAP-Filter der dynamischen Gruppe so konfiguriert, dass alle Benutzerobjekte in diese Gruppe aufgenommen werden:
Delegierte Verwaltung von automatischen Gruppen
Seit DynamicGroup 2020 gibt es die Möglichkeit, die Verwaltung von dynamischen Gruppen zu delegieren.
Dies funktioniert über OUs. Lokale IT Mitarbeiter mit OU-Admin-Rechten bekommen eine reduzierte Ansicht der DynamicGroup Console angezeigt. In dieser haben sie nur Zugriff auf die von ihnen zu verwaltende OU. Sie sehen auch nur normale und dynamische Sicherheitsgruppen. Es ist also nicht notwendig, Zugriff auf Benutzerobjekte zu vergeben.
Die reduzierte Ansicht zur Delegation von dynamischen Sicherheitsgruppen kann wie folgt aussehen:
Automatisierte Auflösung von Verschachtelungen in Active Directory Gruppen
Die Verschachtelung von Sicherheitsgruppen stellt für die Administration des Active Directorys ein nicht zu unterschätzendes Problem dar. Wenn ein Administrator eine Berechtigung prüfen möchte, ist er häufig gezwungen, sich die Mitgliedschaften von mehreren Gruppen anzusehen. Nur so kann er in Erfahrung bringen, über welchen Weg ein bestimmter Benutzer zu einer bestimmten Berechtigung gekommen ist.
Mit DynamicGroup können Sie die Verschachtelung von Gruppenmitgliedschaften automatisiert aufheben. Die Software prüft regelmäßig, ob in einer dynamischen Gruppe weitere Gruppen aufgenommen worden sind.
Sollte dies der Fall sein, werden die Gruppenmitgliedschaften automatisch analysiert und alle Benutzer als einzelne Objekte in die Gruppe aufgenommen. Das Gruppenobjekt wird anschließend aus dieser Gruppe entfernt.
Hierzu wird in der Konfiguration der dynamischen Gruppe die Option Flat-Group aktiviert:
Für weitere Informationen zu DynamicGroup und zur Optimierung Ihres Identitätsmanagements können Sie uns gerne kontaktieren.
