Automatische AD Gruppen
Durch clevere Automatisierung von AD Gruppen vermeiden Sie häufige Korrekturen – und sparen Zeit. Lesen Sie, wie Sie automatische Gruppen einrichten.
Index
Welche Vorteile hat der Einsatz von dynamischen Gruppen?
Sie können durch das Automatisieren von AD Gruppen:
- Sicherheitsrisiken senken
- Berechtigungen aktuell halten
- Administrationsaufwand reduzieren
Video: Dynamische Gruppen in Active Directory
Wofür werden dynamische Gruppen eingesetzt?
- Automatische E-Mail-Verteilerlisten
- Sich selbst aktualisierende Abteilungsgruppen
- Automatisierte Vergabe von Ressourcen
- Selbstpflegende Zugriffs- und Datei-Berechtigungsgruppen
- Dynamische Group Policy Verteilung
- Verschachtelte dynamische Gruppen (mit Priorisierung)
Wie richte ich automatische AD Gruppen ein?
Es gibt grundsätzlich 3 Wege:
- Eigenes Powershell Skript
Schreiben Sie ein Skript und hoffen Sie auf dessen Zuverlässigkeit. - Sie lassen programmieren
Eigenentwicklungen sind
– maßgeschneidert
– werden nur gefixt oder erweitert, wenn Sie etwas beauftragen
– hängen von Ihnen als alleinigem Nutzer ab
Sie können aber auch mehr Funktionen und eine erprobte Software erhalten, die immer weiterentwickelt wird und für die es Support gibt: - DynamicGroup
DynamicGroup wurde von uns als Standard-Software entwickelt. Sie wird in Unternehmen eingesetzt, die damit bis zu 20.000 und mehr AD Objekte pflegen.
Die Software wird
– gewartet und supportet,
– hat einen nutzerfreundlichen Query Builder
– löst Verschachtelungen auf,
– bietet einen individuell konfigurierbaren Service.
Auf welchen Kriterien basieren automatische AD Gruppen?
Basis einer DynamicGroup können sein:
- Attribute
- Objekttypen
- Organizational Units (OU) – auch mehrere
- Include- und Exclude-Listen
- andere normale und dynamische Gruppen
- Verkettete Abfragen verschiedener Art
- Alle basierend auf LDAP Abfragen
Dynamische Abteilungsgruppe in 5 Minuten einrichten
- DynamicGroup starten
- Gruppe anlegen und zur dynamischen Gruppe machen
- Member Query konfigurieren (Attribut „department“)
- Speichern
- Service-Intervall einstellen oder manuell updaten
Video: Dynamische Abteilungsgruppe anlegen
Beispiel Überberechtigung – ein Sicherheitsrisiko
Wechselt ein Mitarbeiter die Abteilung, müssen auch Berechtigungen geändert werden:
- In der neuen Abteilung soll er Zugriff auf Laufwerke und Ordner erhalten.
- In der alten Abteilung müssen Zugriffe auf Laufwerke und Systeme entzogen werden.
In der Praxis kommt es fast immer (zumindest vorübergehend) zu einer Überberechtigung.
Die Folge: Der Anwender hat zu viele Berechtigungen – viel mehr als ihm zustehen – ein Risiko!
Manuelle Pflege von AD Gruppen kostet:
- Zeit
- Ressourcen
- Geld
- oft Nerven, da z.B. Fehleranfälligkeit durch Abspracheschwierigkeiten
Die Berechtigung auf Dateien und Laufwerke können Sie aber auch durch automatische Gruppen pflegen lassen.
Kontaktieren Sie uns für weitere Informationen zu DynamicGroup und zur Optimierung Ihres Identitätsmanagements.
