• IAM in Teams
  • IAM Hybrid
  • Referenzen
  • Unternehmen
FirstAttribute AGFirstAttribute AG
FirstAttribute AGFirstAttribute AG
  • IAM in Teams
    • Teams-Ressourcen im Griff
    • Zentralisiertes M365 Identitätsmanagement
  • IAM Hybrid
    • Single Point of Access
    • Split the Admin Load
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Wir über uns
    • Karriere
    • News
    • Kontakt
  • Deutsch

Dynamische Sicherheitsgruppen im Active Directory anlegen

Feb 13, 2023 (Letztes Update) | DynamicGroup |

 

Dank Dynamischer Sicherheitsgruppen werden Gruppenmitgliedschaften automatisch zu Benutzerobjekten hinzugefügt oder entfernt. Dies erfolgt allein durch die Änderung von Attributen der Benutzerobjekte.

Dynamische Gruppenmitgliedschaft: Attributbasiert

FirstWare DynamicGroup

FirstWare DynamicGroup ermöglicht die Nutzung von dynamischen Sicherheitsgruppen zur Automatisierung der Berechtigungsverwaltung in Active Directory Umgebungen.

Auf Basis von Attributen, OUs und LDAP-Filterregeln können die Gruppenmitgliedschaften regelmäßig überprüft und automatisiert angepasst werden.

Szenarien aus der Praxis 

Viele Unternehmen bilden ihre Organisationsform und damit die Ebenen der Abteilungen über Active Directory Gruppen ab. Somit können Berechtigungen an alle Mitarbeiter, einer bestimmten Abteilung vergeben werden. Fängt ein neuer Kollege in einer Abteilung an oder wechselt in eine andere, wird er in die entsprechende Abteilungsgruppe aufgenommen. Somit hat der neue Mitarbeiter die gleichen Berechtigungen, wie alle anderen Kollegen in dieser Abteilung.

Hier besteht das Risiko, dass Mitarbeiter im Lauf der Zeit zu viele Berechtigungen erhalten. Im Zuge eines Abteilungswechsels sind sie nicht wieder aus der ursprünglichen Abteilungsgruppe herausgenommen worden.

In der Praxis werden neue Benutzerkonten häufig durch das Kopieren eines bestehenden Benutzerkontos erzeugt. Sollte als Quelle ein Benutzerkonto ausgewählt worden sein, welches bereits zu viele Berechtigungen besitzt, wird diese Überberechtigung direkt an den neuen Kollegen übertragen.

Create a new dynamic group

Mit FirstWare DynamicGroup werden die Gruppenmitgliedschaften automatisiert auf Basis von Benutzereigenschaften verwaltet. Sobald die über einen LDAP-Filter definierte Bedingung nicht mehr erfüllt ist, wird das entsprechende Benutzerobjekt aus der Gruppe entfernt.

Video: Dynamische Gruppen in Active Directory

Anwendungsgebiete in Unternehmen

Automatisierte Verwaltung von Abteilungsgruppen

Video: Dynamische Abteilungsgruppe anlegen

Zur Vergabe von Berechtigungen werden in der Regel domänenlokale Gruppen verwendet. Diese werden direkt auf die Ressourcen berechtigt. Globale Gruppen hingegen werden verwendet, um z.B. die Organisationsstruktur eines Unternehmens abzubilden. Die Globalen Gruppen können dann zur Berechtigungsvergabe in die Berechtigungsgruppen aufgenommen werden. Somit können sehr einfach Abteilungsgruppen als globale Gruppen erstellt werden. Alle Mitarbeiter einer bestimmten Abteilung werden dann in diese globale Gruppe aufgenommen.

Mit DynamicGroup erstellen Sie einen LDAP-Filter und ordnen alle Mitarbeiter einer bestimmten Abteilungsgruppe zu. Als Basis wird das Attribut Department der Benutzerobjekte verwendet.

Der Filter sieht dann wie folgt aus:

dynamicgroup ldap filter

Automatisierte Verwaltung der Firmenzugehörigkeiten durch Gruppenmitgliedschaften

Sofern innerhalb eines Active Directorys mehr als ein Unternehmen verwaltet wird, bietet es sich an, für jedes Unternehmen eine dynamische Gruppe zu bilden. Diese kann zur Vergabe von Berechtigungen oder gleichzeitig auch als Basis für Mail-Verteilerlisten dienen. Da wir mehr als ein Unternehmen verwalten, könnte es vorkommen, dass zwei Unternehmen die gleichen Abteilungsbezeichnungen verwenden.

Die Konfiguration des LDAP-Filters für eine Abteilung, die einem bestimmten Unternehmen angehört, könnte wie folgt aussehen:

dynamicgroup-company-dep

Automatisierte Verwaltung von Standort-Gruppen

Viele AD-Administratoren pflegen Standort-Gruppen, in denen alle Benutzerobjekte der jeweiligen Mitarbeiter eines Standorts aufgenommen werden. Diese Gruppen können dann für standortbezogene Berechtigungen auf allgemeine Dateifreigaben, Drucker oder sonstige Ressourcen berechtigt werden.

Zur Realisierung einer dynamischen Gruppe auf Standortebene wird die Search-Root der dynamischen Gruppe auf die jeweilige Standort-OU des Active Directorys gesetzt:

dynamicgroup-standort-nyc-filter

Zusätzlich wird der LDAP-Filter der dynamischen Gruppe so konfiguriert, dass alle Benutzerobjekte in diese Gruppe aufgenommen werden:

dynamicgroup-standort-nyc

Delegierte Verwaltung von automatischen Gruppen

Seit DynamicGroup 2020 gibt es die Möglichkeit, die Verwaltung von dynamischen Gruppen zu delegieren.

Dies funktioniert über OUs. Lokale IT Mitarbeiter mit OU-Admin-Rechten bekommen eine reduzierte Ansicht der DynamicGroup Console angezeigt. In dieser haben sie nur Zugriff auf die von ihnen zu verwaltende OU. Sie sehen auch nur normale und dynamische Sicherheitsgruppen. Es ist also nicht notwendig, Zugriff auf Benutzerobjekte zu vergeben.

Die reduzierte Ansicht zur Delegation von dynamischen Sicherheitsgruppen kann wie folgt aussehen:

Delgation von dynamischen Gruppen

Automatisierte Auflösung von Verschachtelungen in Active Directory Gruppen

Die Verschachtelung von Sicherheitsgruppen stellt für die Administration des Active Directorys ein nicht zu unterschätzendes Problem dar. Wenn ein Administrator eine Berechtigung prüfen möchte, ist er häufig gezwungen, sich die Mitgliedschaften von mehreren Gruppen anzusehen. Nur so kann er in Erfahrung bringen, über welchen Weg ein bestimmter Benutzer zu einer bestimmten Berechtigung gekommen ist.

Mit DynamicGroup können Sie die Verschachtelung von Gruppenmitgliedschaften automatisiert aufheben. Die Software prüft regelmäßig, ob in einer dynamischen Gruppe weitere Gruppen aufgenommen worden sind.

Sollte dies der Fall sein, werden die Gruppenmitgliedschaften automatisch analysiert und alle Benutzer als einzelne Objekte in die Gruppe aufgenommen. Das Gruppenobjekt wird anschließend aus dieser Gruppe entfernt.

Hierzu wird in der Konfiguration der dynamischen Gruppe die Option Flat-Group aktiviert:

dynamicgroup-settings-flatgroup

Für weitere Informationen zu DynamicGroup und zur Optimierung Ihres Identitätsmanagements können Sie uns gerne kontaktieren.

Artikel erstellt am: 12.09.2018
Teilen

Folgendes könnte Sie ebenfalls interessieren

Active Directory Consulting Frankfurt läuft

Mai 21, 2014

Laufbegeisterte Active Directory Spezialisten der FirstAttribute AG starteten am Mittwoch,[...]

FirstAttribute – Beliebteste IT-Innovation 2021

Mrz 23, 2022

BELIEBTESTE IT-INNOVATION 2021 – Siegel gewinnt die FirstAttribute AG.  In[...]

EU-Datengrenze für Microsoft Cloud-Lösungen – Das ist der aktuelle Stand

Nov 11, 2021

Microsoft verspricht, dass die Daten von Kunden aus der Europäischen[...]

Wissen

Neueste Artikel

  • Release von DynamicGroup 5 – Große AD Gruppen schnell bearbeiten
  • Microsoft Entra ist das neue Dach von Azure Active Directory
  • Komponenten der IT Compliance verstehen
  • my-IAM PeopleConnect Release – Bessere Kontaktsuche in Teams
  • Bi-direktionale Organisation von Microsoft Teams durch IT und Mitarbeiter

Kategorien

  • DynamicGroup
  • IDM-Portal
  • Konzepte
  • my-IAM
  • News
  • Projekte

LINKS

Home Office Service

FirstAttribute – Software

FirstAttribute – Tech Blog

Jobs bei FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • Impressum
  • Datenschutzerklärung

News

  • Release von DynamicGroup 5 – Große AD Gruppen schnell bearbeiten
  • Microsoft Entra ist das neue Dach von Azure Active Directory
  • Komponenten der IT Compliance verstehen
  • my-IAM PeopleConnect Release – Bessere Kontaktsuche in Teams
  • Bi-direktionale Organisation von Microsoft Teams durch IT und Mitarbeiter

© 2023 · FirstAttribute AG.

  • Impressum
  • Datenschutzerklärung
Prev Next