Bei einer Gruppe handelt es sich um eine Sammlung von Benutzer- und Computerkonten, Kontakten sowie weiteren Gruppen, die als einzelne Einheit verwaltet werden können. Benutzer und Computer, die einer bestimmten Gruppe angehören, werden als Gruppenmitglieder bezeichnet.
Gruppen in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) sind Verzeichnisobjekte, die sich in einer Domäne und in Containerobjekten von Organisationseinheiten (Organizational Unit, OU) befinden. Mit den Active Directory-Domänendiensten werden bei der Installation Standardgruppen bereitgestellt. Zudem ist eine Option zum Erstellen von Gruppen vorhanden.
Sie können Gruppen in den Active Directory-Domänendiensten für folgende Aufgaben verwenden:
-
Sie können die Verwaltung vereinfachen, indem Sie Berechtigungen für eine freigegebene Ressource an eine Gruppe statt an einzelne Benutzer zuweisen. Durch das Zuweisen von Berechtigungen an eine Gruppe wird allen Mitgliedern dieser Gruppe der gleiche Zugriff auf die Ressource zugewiesen.
-
Sie können die Verwaltung durch einmaliges Zuweisen von Benutzerrechten zu einer Gruppe über die Gruppenrichtlinie delegieren. Anschließend können Sie der Gruppe Mitglieder hinzufügen, die die gleichen Rechte wie die Gruppe besitzen sollen.
-
Sie können E-Mail-Verteilerlisten erstellen.
Gruppen sind durch ihren Bereich und Typ gekennzeichnet. Mit dem Bereich einer Gruppe wird das Ausmaß bestimmt, in dem die Gruppe in einer Domäne oder Gesamtstruktur angewendet wird. Durch den Gruppentyp wird bestimmt, ob Sie eine Gruppe zum Zuweisen von Berechtigungen aus einer freigegebenen Ressource verwenden können (für Sicherheitsgruppen) oder ob Sie eine Gruppe nur für E-Mail-Verteilerlisten verwenden können (für Verteilergruppen).
Außerdem gibt es Gruppen, für die Sie die Mitgliedschaften weder ändern noch anzeigen können. Diese Gruppen werden als besondere Identitäten bezeichnet. Sie stellen unterschiedliche Benutzer zu unterschiedlichen Zeitpunkten dar. Dies hängt von den jeweiligen Umständen ab. Beispielsweise handelt es sich bei der Gruppe Jeder um eine besondere Identität, die alle aktuellen Netzwerkbenutzer darstellt. Dazu zählen auch Gäste und Benutzer aus anderen Domänen.
In den folgenden Abschnitten werden zusätzliche Informationen zu Gruppenkonten in den Active Directory-Domänendiensten bereitgestellt.
Standardgruppen
Standardgruppen wie die Gruppe Domänen-Admins stellen Sicherheitsgruppen dar, die automatisch erstellt werden, wenn Sie eine Active Directory-Domäne erstellen. Sie können diese vordefinierten Gruppen verwenden, um den Zugriff auf freigegebene Ressourcen zu steuern und bestimmte domänenweite Verwaltungsrollen zu delegieren.
Vielen Standardgruppen werden automatisch Benutzerrechte zugewiesen, mit denen die Mitglieder der Gruppe autorisiert werden, bestimmte Aktionen in einer Domäne auszuführen, beispielsweise die Anmeldung an einem lokalen System oder das Sichern von Dateien und Ordnern. Beispielsweise hat ein Mitglied der Gruppe Sicherungsoperatoren das Recht, Sicherungsvorgänge für alle Domänencontroller in der Domäne auszuführen.
Wenn Sie einer Gruppe einen Benutzer hinzufügen, erhält der Benutzer folgende Berechtigungen:
-
Alle der Gruppe zugewiesenen Benutzerrechte
-
Alle Berechtigungen, die der Gruppe für alle freigegebenen Ressourcen zugewiesen sind
Die Standardgruppen befinden sich im Container Vordefiniert und im Container Benutzer. Die Standardgruppen im Container Vordefiniert besitzen den Gruppenbereich Lokal (vordefiniert). Gruppenbereich und Gruppentyp können nicht geändert werden. Der Container Benutzer enthält Gruppen, die mit dem globalen Bereich definiert werden, und Gruppen, die mit dem lokalen Domänenbereich definiert werden. Sie können Gruppen, die sich in diesen Containern befinden, in andere Gruppen oder Organisationseinheiten innerhalb der Domäne verschieben, Sie können sie jedoch nicht in andere Domänen verschieben.
Weitere Informationen finden Sie im Thema zu den Standardgruppen unter
Gruppenbereich
Gruppen werden durch einen Bereich gekennzeichnet, mit dem angegeben wird, in welchem Ausmaß die Gruppe in der Domänenstruktur oder in der Gesamtstruktur angewendet wird. Es gibt drei Gruppenbereiche: lokal (in Domäne), global und universell.
Lokale Gruppen (in Domäne)
Zu den Mitgliedern lokaler Domänengruppen können weitere Gruppen und Konten aus Windows NT-, Windows 2000-, Windows Server 2003-, Windows Server 2008- und Windows Server 2008 R2-Domänen zählen. Den Mitgliedern dieser Gruppen können nur innerhalb einer Domäne Berechtigungen zugewiesen werden.
Mithilfe von Gruppen mit einem lokalen Domänenbereich können Sie den Zugriff auf Ressourcen innerhalb einer einzelnen Domäne definieren und verwalten. Diese Gruppen können folgende Mitglieder besitzen:
-
Konten aus beliebigen Domänen
-
Globale Gruppen aus beliebigen Domänen
-
Universelle Gruppen aus beliebigen Domänen
-
Lokale Domänengruppen, jedoch nur aus derselben Domäne wie die übergeordnete lokale Domänengruppe
-
Eine Mischung der obigen Angaben
Wenn Sie beispielsweise fünf Benutzern den Zugriff auf einen bestimmten Drucker gewähren möchten, können Sie alle fünf Benutzerkonten in der Druckerberechtigungsliste hinzufügen. Wenn Sie den fünf Benutzern jedoch Zugriff auf einen neuen Drucker ermöglichen möchten, müssen Sie erneut alle fünf Konten in der Berechtigungsliste für den neuen Drucker angeben.
Mit geringem Planungsaufwand können Sie diese routinemäßige Verwaltungsaufgabe vereinfachen, indem Sie eine Gruppe mit lokalem Domänenbereich erstellen und ihr eine Berechtigung für den Zugriff auf den Drucker zuweisen. Bringen Sie die fünf Benutzerkonten in einer Gruppe mit globalem Bereich unter, und fügen Sie diese Gruppe der Gruppe hinzu, die einen lokalen Domänenbereich aufweist. Wenn Sie den fünf Benutzern den Zugriff auf einen neuen Drucker ermöglichen möchten, weisen Sie der Gruppe mit lokalem Domänenbereich die Berechtigung zu, auf den neuen Drucker zuzugreifen. Alle Mitglieder der Gruppe mit globalem Bereich erhalten automatisch Zugriff auf den neuen Drucker.
Globale Gruppen
Zu den Mitglieder von globalen Gruppen können Konten aus derselben Domäne wie die übergeordnete globale Gruppe sowie globale Gruppen aus derselben Domäne wie die übergeordnete globale Gruppe zählen. Den Mitgliedern dieser Gruppen können in einer beliebigen Domäne in der Gesamtstruktur Berechtigungen zugewiesen werden.
Verwenden Sie Gruppen mit globalem Bereich, um Verzeichnisobjekte zu verwalten, für die eine tägliche Wartung erforderlich ist (z. B. Benutzer- und Computerkonten). Da Gruppen mit globalem Bereich außerhalb der eigenen Domäne nicht repliziert werden, können Sie Konten in einer Gruppe mit globalem Bereich häufig ändern, ohne dabei Replikationsdatenverkehr für den globalen Katalog zu generieren.
Obwohl Zuweisungen von Rechten und Berechtigungen nur innerhalb der Domäne gültig sind, in der sie zugewiesen werden, können Sie Verweise auf Konten mit einem ähnlichen Zweck zusammenführen, indem Sie Gruppen mit globalem Bereich gleichmäßig auf die entsprechenden Domänen anwenden. Damit wird die Gruppenverwaltung über Domänengrenzen hinweg vereinfacht und rationalisiert. Wenn beispielsweise in einem Netzwerk mit zwei Domänen ("Europe" und "UnitedStates") eine Gruppe mit globalem Bereich (GLAccounting) in der Domäne "UnitedStates" vorhanden ist, muss auch eine Gruppe mit dem Namen "GLAccounting" in der Domäne "Europe" vorhanden sein (es sei denn, die Kontoführungsfunktion ist in der Domäne "Europe" nicht vorhanden).
Wichtig | |
Es wird dringend empfohlen, globale Gruppen oder universelle Gruppen anstelle von lokalen Domänengruppen zu verwenden, wenn Sie Berechtigungen für Domänenverzeichnisobjekte angeben, die für den globalen Katalog repliziert werden. |
Universelle Gruppen
Universelle Gruppen können folgende Mitglieder besitzen:
- Konten aus beliebigen Domänen innerhalb der Gesamtstruktur, in der sich diese universelle Gruppe befindet
- Globale Gruppen aus beliebigen Domänen innerhalb der Gesamtstruktur, in der sich diese universelle Gruppe befindet
- Universelle Gruppen aus beliebigen Domänen innerhalb der Gesamtstruktur, in der sich diese universelle Gruppe befindet
Den Mitgliedern dieser Gruppen können in einer beliebigen Domäne in der Domänen- oder Gesamtstruktur Berechtigungen zugewiesen werden. Verwenden Sie Gruppen mit universellem Bereich, um Gruppen zusammenzuführen, die sich über mehrere Domänen erstrecken. Fügen Sie die Konten dazu Gruppen mit globalem Bereich hinzu, und verschachteln Sie diese Gruppen in Gruppen mit universellem Bereich. Wenn Sie diese Strategie verwenden, wirken sich Mitgliedschaftsänderungen in den Gruppen mit globalem Bereich nicht auf die Gruppen mit universellem Bereich aus.
Erstellen Sie beispielsweise in einem Netzwerk mit zwei Domänen ("Europe" und "UnitedStates") und einer Gruppe mit globalem Bereich (GLAccounting) in jeder Domäne eine Gruppe mit universellem Bereich (UAccounting), deren Mitglieder die beiden GLAccounting-Gruppen (UnitedStates\GLAccounting und Europe\GLAccounting) sind. Daraufhin können Sie die Gruppe UAccounting überall im Unternehmen verwenden. Änderungen an der Mitgliedschaft der einzelnen GLAccounting-Gruppen führen nicht zur Replikation der Gruppe UAccounting.
Ändern Sie die Mitgliedschaft einer Gruppe mit universellem Bereich nur selten. Alle Änderungen an der Mitgliedschaft dieses Gruppentyps führen dazu, dass die gesamte Mitgliedschaft der Gruppe für jeden globalen Katalog in der Gesamtstruktur repliziert wird.
Gruppentypen
In den Active Directory-Domänendiensten stehen zwei Gruppentypen zur Verfügung: Verteilergruppen und Sicherheitsgruppen. Mithilfe von Verteilergruppen können Sie E-Mail-Verteilerlisten erstellen. Mithilfe von Sicherheitsgruppen können Sie Berechtigungen für freigegebene Ressourcen zuweisen.
Sie können Verteilergruppen nur mit E-Mail-Anwendungen (z. B. Microsoft Exchange Server 2007) verwenden, um E-Mails an mehrere Benutzer zu senden. Für Verteilergruppen ist die Sicherheit nicht aktiviert, d. h., sie können nicht in freigegebenen Zugriffssteuerungslisten (Discretionary Access Control Lists, DACLs) aufgelistet werden. Wenn Sie eine Gruppe zum Steuern des Zugriffs auf freigegebene Ressourcen benötigen, erstellen Sie eine Sicherheitsgruppe.
Sicherheitsgruppen stellen eine effektive Möglichkeit zum Zuweisen des Zugriffs auf Ressourcen in Ihrem Netzwerk dar, wenn sie sorgfältig verwendet werden. Wenn Sie Sicherheitsgruppen verwenden, stehen Ihnen folgende Möglichkeiten zur Verfügung:
-
Zuweisen von Benutzerrechten zu Sicherheitsgruppen in den Active Directory-Domänendiensten
Benutzerrechte werden einer Sicherheitsgruppe zugewiesen, um zu bestimmen, welche Aktionen Mitglieder dieser Gruppe im Bereich einer Domäne (oder Gesamtstruktur) ausführen können. Benutzerrechte werden zu dem Zeitpunkt, zu dem die Active Directory-Domänendienste installiert werden, automatisch einigen Sicherheitsgruppen zugewiesen, damit Administratoren die Administratorrolle einer Person in der Domäne definieren können. Beispielsweise verfügt ein Benutzer, der der Gruppe Sicherungsoperatoren in den Active Directory-Domänendiensten hinzugefügt wird, über die Fähigkeit, Dateien und Verzeichnisse für jeden einzelnen Domänencontroller in der Domäne zu sichern und wiederherzustellen.
-
Zuweisen von Berechtigungen zu Sicherheitsgruppen für Ressourcen
Berechtigungen unterscheiden sich von Benutzerrechten. Mit Berechtigungen wird bestimmt, wer auf eine freigegebene Ressource zugreifen kann, und es wird die Zugriffsebene bestimmt (z. B. Vollzugriff). Mithilfe von Sicherheitsgruppen können Sie den Zugriff auf und die Berechtigungen für eine freigegebene Ressource verwalten. Einige Berechtigungen, die für Domänenobjekte festgelegt werden, werden automatisch zugewiesen, damit verschiedene Zugriffsebenen für Standardsicherheitsgruppen möglich sind, beispielsweise die Gruppe Konten-Operatoren oder die Gruppe Domänen-Admins.
Wie Verteilergruppen können Sicherheitsgruppen auch als E-Mail-Entitäten verwendet werden. Wenn eine E-Mail-Nachricht an die Sicherheitsgruppe gesendet wird, wird die Nachricht an alle Mitglieder der Gruppe gesendet.
Besondere Identitäten
Zusätzlich zu den Gruppen im Container Benutzer und im Container Vordefiniert umfassen Server, auf denen Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 ausgeführt wird, mehrere besondere Identitäten. Zur einfacheren Verwendung werden diese Identitäten allgemein als Gruppen bezeichnet. Diese Sondergruppen besitzen keine bestimmten Mitgliedschaften, die geändert werden können. Sie können jedoch unterschiedliche Benutzer zu unterschiedlichen Zeitpunkten darstellen. Dies hängt von den jeweiligen Umständen ab. Die folgenden Gruppen stellen besondere Identitäten dar:
-
Anonymous-Anmeldung
Diese Gruppe stellt Benutzer und Dienste dar, die über das Netzwerk auf einen Computer und seine Ressourcen zugreifen, ohne einen Kontonamen, ein Kennwort oder einen Domänennamen zu verwenden. Für Computer, auf denen Windows NT und frühere Versionen ausgeführt werden, ist die Gruppe Anonymous-Anmeldung Standardmitglied der Gruppe Jeder. Für Computer, auf denen Windows Server 2008 R2, Windows Server 2008 oder Windows Server 2003 ausgeführt wird, ist die Gruppe Anonymous-Anmeldung standardmäßig kein Mitglied der Gruppe Jeder.
-
Jeder
Diese Gruppe stellt alle aktuellen Netzwerkbenutzer dar, einschließlich Gäste und Benutzer aus anderen Domänen. Wenn sich Benutzer im Netzwerk anmelden, werden die Benutzer automatisch der Gruppe Jeder hinzugefügt.
-
Netzwerk
Diese Gruppe stellt Benutzer dar, die aktuell über das Netzwerk auf eine bestimmte Ressource zugreifen - im Gegensatz zu Benutzern, die auf eine Ressource zugreifen, indem sie sich lokal am Computer anmelden, auf dem sich die Ressource befindet. Wenn Benutzer über das Netzwerk auf eine bestimmte Ressource zugreifen, werden die Benutzer automatisch der Gruppe Netzwerk hinzugefügt.
-
Interaktiv
Diese Gruppe stellt alle Benutzer dar, die aktuell an einem bestimmten Computer angemeldet sind und die auf eine bestimmte Ressource zugreifen, die sich auf diesem Computer befindet - im Gegensatz zu Benutzern, die über das Netzwerk auf die Ressource zugreifen. Wenn Benutzer auf eine bestimmte Ressource auf dem Computer zugreifen, an dem sie aktuell angemeldet sind, werden die Benutzer automatisch der Gruppe Interaktiv hinzugefügt.
Obwohl den besonderen Identitäten Rechte und Berechtigungen für Ressourcen zugewiesen werden können, können die Mitgliedschaften von besonderen Identitäten nicht geändert oder angezeigt werden. Gruppenbereiche werden nicht auf besondere Identitäten angewendet. Benutzer werden automatisch diesen besonderen Identitäten zugewiesen, wenn sie sich anmelden oder auf eine bestimmte Ressource zugreifen.
Bereiche, in denen Gruppen erstellt werden können
In den Active Directory-Domänendiensten werden Gruppen in Domänen erstellt. Mit dem Active Directory-Verwaltungscenter können Gruppen erstellt werden. Mit den erforderlichen Berechtigungen können Sie Gruppen in der Stammdomäne der Gesamtstruktur, in einer beliebigen anderen Domäne in der Gesamtstruktur oder in einer Organisationseinheit erstellen.
Neben der Domäne, in der Gruppen erstellt werden, sind Gruppen auch durch ihren Bereich gekennzeichnet. Durch den Bereich einer Gruppe wird Folgendes bestimmt:
-
Die Domäne, aus der Mitglieder hinzugefügt werden können
-
Die Domäne, in der die Rechte und Berechtigungen, die der Gruppe zugewiesen werden, gültig sind
Wählen Sie eine bestimmte Domäne oder Organisationseinheit aus, in der Sie eine Gruppe auf der Grundlage der Verwaltung erstellen, die für die Gruppe erforderlich ist. Wenn Ihr Verzeichnis beispielsweise mehrere Organisationseinheiten besitzt, für die jeweils ein anderer Administrator zuständig ist, können Sie in diesen Organisationseinheiten Gruppen mit globalem Bereich erstellen, sodass die Administratoren die Gruppenmitgliedschaft für Benutzer in den entsprechenden Organisationseinheiten verwalten können. Wenn Gruppen für die Zugriffssteuerung außerhalb der Organisationseinheit erforderlich sind, können Sie die Gruppen in der Organisationseinheit in Gruppen mit universellem Bereich verschachteln (oder in anderen Gruppen mit globalem Bereich), die Sie an anderen Stellen in der Gesamtstruktur verwenden können.
Wenn die Domänenfunktionsebene auf Windows 2000 oder höher festgelegt ist, die Domäne eine Hierarchie von Organisationseinheiten enthält und die Verwaltung an die Administratoren in den einzelnen Organisationseinheiten delegiert wird, ist es möglicherweise effektiver, Gruppen mit globalem Bereich zu verschachteln. Wenn beispielsweise OU1 die OU2 und OU3 enthält, kann eine Gruppe mit globalem Bereich in OU1 als Mitglieder Gruppen mit globalem Bereich in OU2 und OU3 besitzen. In OU1 kann der Administrator der OU1 Gruppenmitglieder hinzufügen bzw. Gruppenmitglieder entfernen, und die Administratoren von OU2 und OU3 können Gruppenmitglieder für Konten aus ihren eigenen OUs hinzufügen bzw. entfernen, ohne über Administratorrechte für die Gruppe mit globalem Bereich in OU1 zu verfügen.
Hinweis | |
Sie können Gruppen innerhalb einer Domäne verschieben. Ausschließlich Gruppen mit universellem Bereich können jedoch aus einer Domäne in eine andere Domäne verschoben werden. Die einer Gruppe mit universellem Bereich zugewiesenen Rechte und Berechtigungen gehen verloren, wenn die Gruppe in eine andere Domäne verschoben wird. Somit müssen neue Zuweisungen vorgenommen werden. |