AGDLP-Strategie

[BananenT]

Servus,

ich befinde mich momentan im 3ten Ausbildungsjahres als Fachinformatiker für Anwendungsentwicklung.
Ich habe mich gestern mit dem Unterrichtsstoff des letzten Jahres ein wenig befasst und ich habe eine
Verständnisfrage zur AGDLP-Strategie.
[IMG]https://www.faq-o-matic.net/wp-content/uploads/2011/02/Windows-AGDLP.png[/IMG]
Ich verstehe das Prinzip eines AGDLP, jedoch stelle ich mir die Frage, wieso man die Domain Local Groups braucht?
Könnte man nicht einfach die Global Groups direkt an die CRM-Datenbank/Drucker etc anbinden?
Was hat es für einen Vorteil wenn man dazwischen noch eine Domain Local Group hat..

Gruß,
BananenT

 

[snaxilian]

Die DLGs sind als Rollen zu verstehen. Eine Rolle hat idR eine Berechtigung. User werden nicht auf Rollen berechtigt sondern User sind Mitglieder von Gruppen, den GGs. Dann berechtigt man immer GGs auf DLGs um zu verhindern, dass man einzelne User für irgendetwas berechtigen muss.

Beispiel: Neuer Mitarbeiter in Abteilung A: User kommt in die relevanten GGs und hat identische Berechtigungen wie alle seine Kollegen.
Beispiel 2: Mitarbeiter wechselt von Abteilung B nach Abteilung C. Der User wird aus den GGs B entfernt und in die GGs C hinzugefügt.

Dadurch ist sicher gestellt, dass zum einen nirgends einzelne User noch auf etwas berechtigt sind und zum anderen sind neue oder wechselnde User immer identisch eingerichtet.
Das erleichtert die Fehlersuche immens da eben die Berechtigungen immer identisch sind und Berechtigungen niemals auf Userebene passieren.

So ein Rollen und Gruppen Modell findet man nicht nur im Windows Umfeld sondern auch in allen möglichen anderen Anwendungen (DBs, LDAP, sonstige Programme, etc). Nennt sich im allgemeinen RBAC, steht für Role Based Access Modell.

Beispiel aus der Praxis: Wir haben eine Anwendung die unterschiedliche Berechtigungen bietet (read-only, read-write, admin). Wir legen also drei Rollen in der Anwendung an für die drei Nutzungsfälle. Authentifizierungsbackend kann ein AD oder LDAP sein. Dort definiere ich Gruppen, z.B. group-app-ro, group-app-rw, group-app-admin und füge die jeweiligen User den Gruppen hinzu. Der User kann sich dann an der Anwendung anmelden und hat die gleichen Berechtigungen wie der Kollege ein Schreibtisch weiter in der Abteilung.

Theoretisch könnte man auch eine Gruppe Abteilung-XYZ anlegen und diese Gruppe als Mitglied in die Gruppe group-app-ro aufnehmen und dank Vererbung haben alle Mitglieder der Gruppe Abteilung-XYZ dann read-only Zugriff auf die Anwendung. So ein Konstrukt könnte man machen wenn immer alle Mitarbeiter eines Teams oder einer Abteilung identische Zugriffsberechtigungen benötigen.

 

[ayngush]

Das (Aaccounts -> Global Group-> Domain Local Group -> Permissions) hat auch mit verteilten Standorten (deswegen G-DL und nicht G-G) und einer granulareren Steuerung der Berechtigungen, wie über mir ausgeführt, zu tun.

Dein Denkansatz Accounts -> Group (egal ob Global oder Domain Local) -> Permissions findet man in der Regel in kleinen Windows-Umgebungen bis 50 User wieder, denn AGDLP richtig angewendet ist ein Vollzeitjob und dafür hat die IT in kleinen Unternehmen (teilweise nicht mal im Haus) einfach keine Zeit. Das ist auch nicht schlimm, denn kleine Unternehmen haben in der Regel auch nicht so viele Ressourcen zu verwalten, dass man da die Übersicht bei verlieren würde, wie das in großen Umgebungen eher der Fall ist.

Richtig ist AGDLP. Das ist auch Lehrbuchwissen.
Deswegen ist das, was in kleinen Umgebungen stattfindet aber nicht automatisch verkehrt, sondern in der Situation ebenfalls - aus dem Leben heraus - richtig. Dazu hat man dann auch ratz fatz interdisziplinäre Benutzerrollen mit beschränkten Berechtigugnen für einige Ressourcen anderer Abteilungen und andere Sonderlocken, die nicht mehr so richtig in das AGDLP-Schema passen und vieles mehr...

Schreib das aber so bloß nicht als Antwort in die Prüfung, da zählt nur AGDLP und nichts anderes.
Die Praxis korrigiert die IHK-Ansichten dann über die Zeit ohnehin wieder. Das ist dann das, was man als Berufserfahrung bezeichnet