Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Kann mir einer hier den Unterschied erklären? Das Einzige was ich sehe ist, anstatt das eine Domain Local Group für die Rechte genutzt wird nimmt man eine Gobal Group. Was macht das denn für einen Unterschied in einer Single Domain, keinen order?
Wenn man jetzt im Forrest wäre, wäre das was anderes denke ich.
Habe ich noch nie so gesehen. Alle von mir betreuten (durch mich/uns übernommene und natürlich neu aufgebaute) Umgebungen werden nach AGDLP-Prinzip bedient. Administrativ sehe ich keinen Vorteil in AGGP und gerade wenn man prozessuale und nicht-technische Audits hat (hallo ISO27001) kommen die Auditoren womöglich noch ganz durcheinander und verstehen gar nicht was los ist.
bedeutet ihr legt auf einem Fileserver der kein Domänen-Controller ist, X lokale Gruppen in der Computerverwaltung an und schachtelt da dann dieselbe Anzahl an Globalen Ad Gruppen rein.
An diese lokalen Gruppen bindet ihr dann komplexe Berechtigungsstrukturen.
Für jede neue Freigabe / Ordner müssen dann wieder zwei Gruppen erstellt werden.
Also in der Praxis machen wir das nicht.
ok, wieder was gelernt.
Trotz allem ist in der überwiegenden Mehrzahl meiner Netze keine Notwendigkeit für jede Berechtigungsvergabe zwei Gruppen zu erstellen.
Es ist ja schon administrativ fragwürdig für Fileserverberechtigungsvergaben mehr Gruppen als User zu haben.
Dann noch die Gruppen verdoppeln. Nein Danke.
Das ist auch nicht der Sinn von AGDLP. Die Idee hinter AGDLP ist, dass mehrere DL-Gruppen zu einer G-Gruppe gebündelt werden, damit die Berechtigung für z.B. eine Software nur noch über eine G-Gruppe vergeben werden muss.
Beispiel: du hast eine Software "Buchhalter 2000", die folgende Zugriffe benötigt
Fileserver Share
Datenbank
Dateisystemberechtigung auf das Applikationsverzeichnis auf einem Citrix-/Terminalserver
Dateisystemberechtigung auf das Applikationsverzeichnis auf dem Client
Für diese vier Berechtigungen legst du vier DL-Berechtigungsgruppen an
DL_Filer-Share_Modify
DL_DBHotel-DB_Modify
DL_Citrix-Buchhalter2000_Execute
DL_Client-Buchhalter2000_Execute
Die Gruppen wiederum werden entsprechend der Vorgaben auf dem Filer/Share, innerhalb der DB und auf den Citrix-Servern sowie Clients berechtigt. Anschließend erstellt du eine Globale Gruppe (z.B. G_Buchhalter2000) und verschachtelst die vier DL-Gruppen in diese G-Gruppe. Berechtigte Personen müssen jetzt nur noch in die G_Buchhalter2000-Gruppe aufgenommen werden, um alle benötigten Berechtigungen zu erhalten.
AGDLP = Account in Global Group in Domain Local Group(s) auf Ressource (Permission)
Das ist mir so schon klar. Ich könnte aber auch einfach die Berechtigungen an der Globalen Gruppe festmachen und mir den Aufwand von den 4 DL-Gruppen sparen.
Das Ergebnis wäre dasselbe.
Ich kann auch den/die Benutzer direkt auf die Datenbank oder das Filesystem berechtigen. Dann spare ich mir den Einsatz aller Gruppen. Das Ergebnis wäre dasselbe. Ist dann halt nur schwer auditier- und nachvollziehbar.
Getreu dem Motto "Kannste so machen, ist dann halt kacke".
.....mit dem einen entscheidenden Makel, dass im Falle einer Löschung von User Accounts dann verwaiste SID Einträge übrigbleiben.....
Ich stehe zu 100% hinter Gruppen und lege auch für einen Account der berechtigt werden soll eine Gruppe an, sehe aber die doppelte Verschachtelung in KMUs in 98% der Fälle als sinnfrei an.
Ein weiter Vorteil ist aber auch das wenn mal weitere Forests (Fusion) dazu kommen (trust) … man diese untereinander berechtigen kann. Die globale der Domain B wird in lokale Der Domain A verschachtelt.
