• IAM in Teams
  • IAM Hybrid
  • Referenzen
  • Unternehmen
FirstAttribute AGFirstAttribute AG
FirstAttribute AGFirstAttribute AG
  • IAM in Teams
    • Teams-Ressourcen im Griff
    • Zentralisiertes M365 Identitätsmanagement
  • IAM Hybrid
    • Single Point of Access
    • Split the Admin Load
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Unternehmen
    • Wir über uns
    • Karriere
    • News
    • Kontakt
  • Deutsch

Dynamische Sicherheitsgruppen im Active Directory anlegen

Mrz 11, 2021 (Letztes Update) | DynamicGroup |

 

Dank Dynamischer Sicherheitsgruppen werden Gruppenmitgliedschaften automatisch zu Benutzerobjekten hinzugefügt oder entfernt. Dies erfolgt allein durch die Änderung von Attributen der Benutzerobjekte.

Index

  • FirstWare DynamicGroup
  • Szenarien aus der Praxis 
  • Anwendungsgebiete in Unternehmen
    • Automatisierte Verwaltung von Abteilungsgruppen
    • Automatisierte Verwaltung der Firmenzugehörigkeiten durch Gruppenmitgliedschaften
    • Automatisierte Verwaltung von Standort-Gruppen
    • Delegierte Verwaltung von automatischen Gruppen
    • Automatisierte Auflösung von Verschachtelungen in Active Directory Gruppen

Dynamische Gruppenmitgliedschaft: Attributbasiert

FirstWare DynamicGroup

FirstWare DynamicGroup ermöglicht die Nutzung von dynamischen Sicherheitsgruppen zur Automatisierung der Berechtigungsverwaltung in Active Directory Umgebungen.

Auf Basis von Attributen, OUs und LDAP-Filterregeln können die Gruppenmitgliedschaften regelmäßig überprüft und automatisiert angepasst werden.

Szenarien aus der Praxis 

Viele Unternehmen bilden ihre Organisationsform und damit die Ebenen der Abteilungen über Active Directory Gruppen ab. Somit können Berechtigungen an alle Mitarbeiter, einer bestimmten Abteilung vergeben werden. Fängt ein neuer Kollege in einer Abteilung an oder wechselt in eine andere, wird er in die entsprechende Abteilungsgruppe aufgenommen. Somit hat der neue Mitarbeiter die gleichen Berechtigungen, wie alle anderen Kollegen in dieser Abteilung.

Hier besteht das Risiko, dass Mitarbeiter im Lauf der Zeit zu viele Berechtigungen erhalten. Im Zuge eines Abteilungswechsels sind sie nicht wieder aus der ursprünglichen Abteilungsgruppe herausgenommen worden.

In der Praxis werden neue Benutzerkonten häufig durch das Kopieren eines bestehenden Benutzerkontos erzeugt. Sollte als Quelle ein Benutzerkonto ausgewählt worden sein, welches bereits zu viele Berechtigungen besitzt, wird diese Überberechtigung direkt an den neuen Kollegen übertragen.

Create a new dynamic group

Mit FirstWare DynamicGroup werden die Gruppenmitgliedschaften automatisiert auf Basis von Benutzereigenschaften verwaltet. Sobald die über einen LDAP-Filter definierte Bedingung nicht mehr erfüllt ist, wird das entsprechende Benutzerobjekt aus der Gruppe entfernt.

Video: Dynamische Gruppen in Active Directory

Anwendungsgebiete in Unternehmen

Automatisierte Verwaltung von Abteilungsgruppen

Video: Dynamische Abteilungsgruppe anlegen

Zur Vergabe von Berechtigungen werden in der Regel domänenlokale Gruppen verwendet. Diese werden direkt auf die Ressourcen berechtigt. Globale Gruppen hingegen werden verwendet, um z.B. die Organisationsstruktur eines Unternehmens abzubilden. Die Globalen Gruppen können dann zur Berechtigungsvergabe in die Berechtigungsgruppen aufgenommen werden. Somit können sehr einfach Abteilungsgruppen als globale Gruppen erstellt werden. Alle Mitarbeiter einer bestimmten Abteilung werden dann in diese globale Gruppe aufgenommen.

Mit DynamicGroup erstellen Sie einen LDAP-Filter und ordnen alle Mitarbeiter einer bestimmten Abteilungsgruppe zu. Als Basis wird das Attribut Department der Benutzerobjekte verwendet.

Der Filter sieht dann wie folgt aus:

dynamicgroup ldap filter

Automatisierte Verwaltung der Firmenzugehörigkeiten durch Gruppenmitgliedschaften

Sofern innerhalb eines Active Directorys mehr als ein Unternehmen verwaltet wird, bietet es sich an, für jedes Unternehmen eine dynamische Gruppe zu bilden. Diese kann zur Vergabe von Berechtigungen oder gleichzeitig auch als Basis für Mail-Verteilerlisten dienen. Da wir mehr als ein Unternehmen verwalten, könnte es vorkommen, dass zwei Unternehmen die gleichen Abteilungsbezeichnungen verwenden.

Die Konfiguration des LDAP-Filters für eine Abteilung, die einem bestimmten Unternehmen angehört, könnte wie folgt aussehen:

dynamicgroup-company-dep

Automatisierte Verwaltung von Standort-Gruppen

Viele AD-Administratoren pflegen Standort-Gruppen, in denen alle Benutzerobjekte der jeweiligen Mitarbeiter eines Standorts aufgenommen werden. Diese Gruppen können dann für standortbezogene Berechtigungen auf allgemeine Dateifreigaben, Drucker oder sonstige Ressourcen berechtigt werden.

Zur Realisierung einer dynamischen Gruppe auf Standortebene wird die Search-Root der dynamischen Gruppe auf die jeweilige Standort-OU des Active Directorys gesetzt:

dynamicgroup-standort-nyc-filter

Zusätzlich wird der LDAP-Filter der dynamischen Gruppe so konfiguriert, dass alle Benutzerobjekte in diese Gruppe aufgenommen werden:

dynamicgroup-standort-nyc

Delegierte Verwaltung von automatischen Gruppen

Seit DynamicGroup 2020 gibt es die Möglichkeit, die Verwaltung von dynamischen Gruppen zu delegieren.

Dies funktioniert über OUs. Lokale IT Mitarbeiter mit OU-Admin-Rechten bekommen eine reduzierte Ansicht der DynamicGroup Console angezeigt. In dieser haben sie nur Zugriff auf die von ihnen zu verwaltende OU. Sie sehen auch nur normale und dynamische Sicherheitsgruppen. Es ist also nicht notwendig, Zugriff auf Benutzerobjekte zu vergeben.

Die reduzierte Ansicht zur Delegation von dynamischen Sicherheitsgruppen kann wie folgt aussehen:

Delgation von dynamischen Gruppen

Automatisierte Auflösung von Verschachtelungen in Active Directory Gruppen

Die Verschachtelung von Sicherheitsgruppen stellt für die Administration des Active Directorys ein nicht zu unterschätzendes Problem dar. Wenn ein Administrator eine Berechtigung prüfen möchte, ist er häufig gezwungen, sich die Mitgliedschaften von mehreren Gruppen anzusehen. Nur so kann er in Erfahrung bringen, über welchen Weg ein bestimmter Benutzer zu einer bestimmten Berechtigung gekommen ist.

Mit DynamicGroup können Sie die Verschachtelung von Gruppenmitgliedschaften automatisiert aufheben. Die Software prüft regelmäßig, ob in einer dynamischen Gruppe weitere Gruppen aufgenommen worden sind.

Sollte dies der Fall sein, werden die Gruppenmitgliedschaften automatisch analysiert und alle Benutzer als einzelne Objekte in die Gruppe aufgenommen. Das Gruppenobjekt wird anschließend aus dieser Gruppe entfernt.

Hierzu wird in der Konfiguration der dynamischen Gruppe die Option Flat-Group aktiviert:

dynamicgroup-settings-flatgroup

Für weitere Informationen zu DynamicGroup und zur Optimierung Ihres Identitätsmanagements können Sie uns gerne kontaktieren.

Artikel erstellt am: 12.09.2018
Teilen

Folgendes könnte Sie ebenfalls interessieren

Azure AD Connect

Mrz 10, 2020

Hier erfahren Sie, wie Sie Ihre Active Directory Infrastruktur mit[...]

E-Mail Signatur aus O365 Daten generieren

Apr 30, 2020

E-Mail Signatur aus O365 Daten automatisch generieren? Die Cloud basierte[...]

Exchange Adressbuchverwaltung per Weboberfläche

Okt 4, 2014

Die Exchange Adressbuchverwaltung können Sie mit Hilfe unserer Software FirstWare[...]

Wissen

Neueste Artikel

  • Bi-direktionale Organisation von Microsoft Teams durch IT und Mitarbeiter
  • FirstAttribute – Beliebteste IT-Innovation 2021
  • FirstWare IDM-Portal – Release 2020.4 mit stärkerer Leistung für große Unternehmen
  • Log4Shell – Software-Lösungen der FirstAttribute nicht betroffen
  • Release von Teams for Notes – Doppelte Einladungen vermeiden

Kategorien

  • DynamicGroup
  • IDM-Portal
  • Konzepte
  • my-IAM
  • News
  • Projekte

LINKS

Home Office Service

FirstAttribute – Software

FirstAttribute – Tech Blog

Jobs bei FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • Impressum
  • Datenschutzerklärung

News

  • Bi-direktionale Organisation von Microsoft Teams durch IT und Mitarbeiter
  • FirstAttribute – Beliebteste IT-Innovation 2021
  • FirstWare IDM-Portal – Release 2020.4 mit stärkerer Leistung für große Unternehmen
  • Log4Shell – Software-Lösungen der FirstAttribute nicht betroffen
  • Release von Teams for Notes – Doppelte Einladungen vermeiden

© 2022 · FirstAttribute AG.

  • Impressum
  • Datenschutzerklärung
Prev Next