So setzen Sie verschachtelte Active-Directory-Gruppen ein

Was sind die Vorteile verschachtelter Gruppen?

Ein guter Verschachtelungsansatz, wie AGDLP oder AGUDLP erleichtert es Administratoren zu erkennen, welcher Nutzer welche Berechtigungen hat. Das vereinfacht bestimmte Arbeitsschritte, zum Beispiel bei Audits. Auch die Fehlersuche (Troubleshooting) wird erheblich verkürzt, wenn nicht ganz überflüssig. Schließlich reduziert diese Strategie den Verwaltungsaufwand, indem sie die Zuweisung von Berechtigungen an andere Domänen weniger kompliziert macht.

Was ist AGDLP?

AGDLP steht für Accounts, Global Group, Domain Local Group und Permissions, also:

• Konten (der Benutzer oder Computer)
• Globale Gruppe (auch Rollengruppe genannt)
• Lokale Domänengruppen (auch Zugriffsgruppen genannt)
• Berechtigungen (die spezifische Berechtigung, die an die lokale Domänengruppe gebunden ist)

Das Akronym bildet auch die Hierarchie ab, in der die Gruppen verschachtelt sind.

Konten sind Mitglieder einer globalen Gruppe, die wiederum Mitglied einer lokalen Domänengruppe ist. Die lokale Domänengruppe besitzt die spezifischen Berechtigungen für Ressourcen, auf die die globale Gruppe Zugriff haben soll, wie zum Beispiel Dateien und Warteschlangen von Druckern.

In Abbildung 1 können Sie sehen, wie sich solche Verschachtelungsgruppen zusammensetzen. Durch die Verwendung der AGDLP-Verschachtelungs- und RBAC-Prinzipien erhalten Administratoren einen Überblick über die spezifischen Berechtigungen einer Rolle, die bei Bedarf leicht in andere Rollengruppen kopiert werden können. Bei AGDLP müssen sie nur daran denken, die Berechtigung immer an die lokale Domänengruppe am Ende der Verschachtelungskette zu binden und niemals an die globale Gruppe.

Was ist AGUDLP?

AGUDLP ist die Multi-Domain/Multi-Forest-Version von AGDLP. Der Unterschied ist, dass der Verschachtelungskette von AGDLP eine universale Gruppe hinzugefügt wird. Mit universalen Gruppen können Admins ohne allzu großen Aufwand Rollengruppen (globale Gruppen) aus anderen Domänen hinzufügen.

Die universale Gruppe – auch Ressourcengruppe genannt – sollte denselben Namen wie die entsprechende Rollengruppe haben, mit Ausnahme ihres Präfixes, wie in Abbildung 2 verdeutlicht.

Welche Probleme können beim Implementieren von AGDLP und AGUDLP auftreten?

Es gibt vier wichtige Regeln im Zusammenhang mit der Verwendung von AGDLP oder AGUDLP:

• Namenskonventionen für Gruppen festlegen
• Nicht mehr Rollengruppen als nötig erstellen; ein Benutzer kann mehrere Rollen haben.
• Immer den richtigen Gruppentypen (lokale Domäne, universal, global) verwenden
• Niemals Berechtigungen direkt an die globalen oder universalen Gruppen vergeben. Sonst werden die Verschachtelungsstrategie und die entsprechende Zusammenfassung der Berechtigungen für die Organisation behindert.

AGDLP oder AGUDLP?

Wer Berechtigungen nicht über mehrere Domänen hinweg zuweisen muss, verwendet üblicherweise AGDLP. AGDLP-Gruppen können bei Bedarf in AGUDLP umgewandelt werden und erfordern weniger Arbeitsaufwand für den Betrieb. Im Zweifelsfall ist AGDLP also immer die bessere Wahl.

Um eine mit AGDLP geschachtelte Gruppe in AGUDLP zu konvertieren, müssen Admins folgendes tun:

• Universale Gruppe erstellen
• Übertragen der Mitgliedschaften der globalen Gruppe in die universale Gruppe.
• Hinzufügen der universalen Gruppe als Mitglied der globalen Gruppe
• Veranlassen, dass alle Benutzer und Computer ihr Kerberos-Ticket aktualisieren oder sich neu anmelden
• Entfernen aller lokalen Domänengruppen aus der globalen Gruppe.

Namenskonventionen bei verschachtelten Gruppen

Administratoren sollten sich für eine Namenskonvention entscheiden, bevor sie AGDLP oder AGUDLP implementieren. Das ist zwar keine Voraussetzung, aber ohne Namenskonvention passiert es sehr schnell, dass alle mühsam geschaffene Ordnung wieder verwildert.

Es gibt mehrere Namensschemata, die sich jeweils für verschiedene Unternehmen unterschiedlich gut eignen. Eine gute Namenskonvention sollte jedoch die folgenden Kriterien erfüllen:

• Sie sollte leicht zu lesen sein.
• Sie sollte einfach genug sein, damit Skripte sie parsen können.
• Sie sollten keine Leerräume (Whitespaces), wie Leerzeichen und außerdem
• keine Sonderzeichen enthalten außer Unterstrich oder Minuszeichen.

Hier sind einige Beispiele für die verschiedenen Gruppentypen:

Rollengruppen

Namenskonvention: Rolle_[Abteilung]_[Rollenname]

Beispiele: Role_IT_Helpdesk oder Role_HR_Managers

Wer das AGUDLP-Prinzip verwendet, sollte eine entsprechende Ressourcengruppe mit einem Res-Präfix wie zum Beispiel Res_IT_Helpdesk oder Res_HR_Managers anlegen.

Berechtigungsgruppen (lokale Domänengruppen)

Namenskonvention: ACL_[PermissionCategory][PermissionDescription][PermissionType][PermissionType]

Beispiele: ACL_Fileshare_HR-Common_Read oder ACL_Computer_Server1_Logon oder ACL_Computer_Server1_LocalAdmin.

Ausführen von AGDLP und AGUDLP

Ist eine Domäne schon länger ohne AGDLP oder andere Konventionen im Einsatz, kann es langwierig und schwierig sein, noch verschachtelte Gruppen einzurichten. Es ist unbedingt erforderlich, die Marotten und Eigenheiten des alten Systems zu identifizieren und gründlich zu testen, um alles an die neue Anordnung anzupassen.

Eine grobe Skizze des Implementierungsplans sieht so aus:

• Administratoren sollten Mitarbeiter aufklären, um sie davon abzuhalten, Gruppen zu bilden und Berechtigungen zu vergeben, ohne sich dabei an die neue Systematik zu halten.
• Die Personalabteilung sollte beim Bilden und Unterstützen der Benutzergruppen mit ins Boot geholt werden.
• Erst dann sollte man Rollen- und Ressourcengruppen erstellen und neue Berechtigungen nach dem AGDLP/AGUDLP-Prinzip zuweisen.
• Admins sollten bestehende Berechtigungen analysieren und so abändern, dass sie dem AGDLP/AGUDLP-Prinzip entsprechen. Sie können dafür die Gruppen entweder umbenennen und ihren Gruppentyp anpassen oder eine neue Gruppe parallel zur alten erstellen, um diese sukzessive zu ersetzen.