Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Vorwort
Wie dieses Buch aufgebaut ist
1 Die Grundinstallation des Windows Server
2 Die Implementierung des Active Directory
3 Windows Server 2003 R2
4 Die Installation der Exchange-Organisation
5 Client-Zugriffslizenzen für Windows Server und Exchange Server eingeben
6 Den Server und die Clients remote verwalten
7 Die Installation des Remote Installation Service RIS
8 Die RIS-Installation eines Windows-XP-Professional-Clients
9 Alternative zur RIS-Installation des Musterclients
10 Einführung in Gruppenrichtlinien
11 Die Gruppenrichtlinien von Windows XP einsetzen
12 Eigene Vorlagedateien für fehlende Gruppenrichtlinien
13 Microsoft Office im Netzwerk
14 Servergespeicherte Benutzerprofile, Basisordner, Ordnerumleitungen und Dokumentvorlageverzeichnisse
15 Das Anmeldeskript
16 Über das Anmeldeskript Anwendungen und Service Packs verteilen
17 Die Erstellung des Komplettabbildes
18 Strategische Überlegungen und Tipps
19 Namenskonventionen für Active-Directory-Objekte
20 Gruppen und Gruppenverschachtelung
21 Access-based Enumeration ABE
22 Netzwerkdrucker einrichten
23 Betriebsmasterfunktionen und der globale Katalogserver
24 Serverdienste und Ausfallsicherheit
25 Active-Directory-Modelle zur Verteilung der Serverfunktionen
26 Der Ausbau der Exchange Server-Organisation
27 Outlook und öffentliche Exchange-Ordner praxisnah nutzen
28 Exchange-Administrationsaufgaben
29 Hinweise zur Exchange-Installation und –Migration
30 Sicherheit im verteilten Active Directory
31 Einstieg in die Projektierung
32 Informationstechnologie und Recht
Index

Ihre Meinung?
 << zurück
Integrationshandbuch Microsoft-Netzwerk von Ulrich Schlüter
Windows Server 2003 R2, SBS 2003, ADS, Exchange Server, Windows XP und Microsoft Office
Buch: Integrationshandbuch Microsoft-Netzwerk

Integrationshandbuch Microsoft-Netzwerk
1.008 S., mit CD, 69,90 Euro
Rheinwerk Computing
ISBN 3-89842-847-8
>>Jetzt Buch bestellen!
gp Kapitel 20 Gruppen und Gruppenverschachtelung
  gp 20.1 Gruppentypen und Gruppenbereiche
  gp 20.2 Altlasten aus Windows-NT-4.0-Domänen
  gp 20.3 Sicherheitsgruppen im Active Directory
  gp 20.4 Umwandlung von Gruppen
  gp 20.5 Globale oder universelle Gruppenbereiche verwenden
  gp 20.6 Einige Ratschläge zur Auswahl des Gruppentyps und des Gruppenbereichs

Kapitel 20 Gruppen und Gruppenverschachtelung

Nur wenn sowohl eine Domäne als auch die Exchange-Organisation von Anfang an im einheitlichen Modus erstellt werden, kann die gewählte Gruppenstruktur durch die Beschränkung auf wenige Gruppenbereiche und durch eine Verschachtelung der Gruppen übersichtlich und leicht verwaltbar bleiben.


Rheinwerk Computing

20.1 Gruppentypen und Gruppenbereiche  toptop

Unter Microsoft Active Directory gibt es die Gruppentypen Sicherheitsgruppe und Verteilergruppe. Sicherheitsgruppen können als Mitglieder Benutzer, externe Kontakte oder Computer haben, wobei Computer auch Server sein können. Sie können prinzipiell gemischte Sicherheitsgruppen erstellen, die z.B. als Mitglieder sowohl Benutzer als auch Computer haben. Einer Sicherheitsgruppe können Zugriffsrechte auf Dateien, Verzeichnisse, Freigaben und Netzwerkdrucker erteilt werden. Ebenso kann eine Sicherheitsgruppe berechtigt werden, bestimmte Objekttypen innerhalb einer bestimmten Organisationseinheit (OU) zu verwalten. Weiterhin ist es möglich, einer bestimmten Sicherheitsgruppe die Rechte Lesen und Übernehmen für eine Gruppenrichtlinie zu erteilen. Gruppen vom Typ Sicherheit können aber gleichzeitig als E–Mail-Verteilerlisten genutzt werden. Dazu klicken Sie die Gruppe mit der rechten Maustaste an und wählen Exchange-Aufgaben · E-Mail-Adresse erstellen.

Verteilergruppen werden dann angelegt, wenn eine Gruppe von Benutzern über einen Exchange-E-Mail-Verteiler adressierbar sein soll, jedoch keine Berechtigungen auf ein Gruppenverzeichnis erhalten soll. Auf einem Exchange Server können Sie öffentliche Ordner erstellen. Wenn Sie die Zugriffsberechtigungen für einen öffentlichen Ordner verändern, indem Sie einer Verteilergruppe bestimmte Rechte geben, so wird die Verteilergruppe automatisch in eine Sicherheitsgruppe umgewandelt.

Probieren Sie das einmal aus: Erstellen Sie eine globale Verteilergruppe namens Testverteiler und erstellen Sie für diese Verteilergruppe eine Exchange-E-Mail-Adresse, indem Sie die Verteilergruppe mit der rechten Maustaste anklicken, Exchange-Aufgaben wählen und E-Mail-Adresse einrichten wählen. Danach starten Sie Outlook, wechseln in Öffentliche Ordner · Alle öffentlichen Ordner und erstellen dort einen Testordner. Sie öffnen nun die Eigenschaften dieses Testordners, dort die Registerkarte Berechtigungen, fügen den neuen Verteiler Testverteiler hinzu und vergeben ihm Rechte. Danach verlassen Sie das Eigenschaftsfenster und sehen sich nun die Eigenschaften der ehemaligen Verteilergruppe Testverteiler an. Aus der Verteilergruppe ist eine Sicherheitsgruppe geworden.

Welche Konsequenzen hat das für Ihre Planung? Wenn aus Verteilergruppen spätestens dann, wenn man ihnen bestimmte Rechte auf einen öffentlichen Ordner des Exchange Server zuweist, automatisch Sicherheitsgruppen werden, können Sie auch von vorneherein nur noch Sicherheitsgruppen anlegen. Damit bleibt Ihre Dokumentation dann auch sauber, denn die automatische Umwandlung einer Verteilergruppe in eine Sicherheitsgruppe werden Sie bewusst gar nicht mitbekommen, erst recht nicht, wenn Kollegen berechtigt sind, ab einer bestimmten Ordnerhierarchie eigene öffentliche Ordner anzulegen und darauf Berechtigungen zu vergeben. Auch ist es unsinnig, eine Namenskonvention für Gruppen festzulegen, bei der in Sicherheits- und Verteilergruppen unterschieden wird, indem Sie z.B. jede Sicherheitsgruppe mit dem Buchstaben »S« und jede Verteilergruppe mit dem Buchstaben »V« beginnen würden. Spätestens nach einem Jahr Produktivbetrieb würden Sie wahrscheinlich feststellen, dass viele der Gruppen, deren Namen mit »V« beginnt, inzwischen zu Sicherheitsgruppen umgewandelt wurden.

Diese Gruppentypen haben jeweils die drei Gruppenbereiche Lokale Domäne, Global und Universal, wobei die Begriffe »universal« und »universell« in der Fachliteratur durcheinander verwendet werden. Im Snap-In Active Directory-Benutzer und –Computer heißen diese Gruppen Universal, gemeint ist aber, dass sie universell genutzt werden können. Auch ich benutze beide Begriffe in diesem Buch nebeneinander.

In der Fachliteratur werden nun diese Gruppen gegeneinander abgegrenzt. Dabei wird in der Regel ein Konzept zur Nutzung dieser Gruppenbereiche erklärt, bei dem ein Mehrdomänenkonzept Pate steht und darauf hingewiesen wird, dass dieses Konzept bezüglich späterer Erweiterungen die größte Flexibilität bietet. Dieses Konzept schlägt folgende Vorgehensweise vor: Alle Benutzer, die auf eine bestimmte Ressource zugreifen sollen (z.B. auf bestimmte Netzdrucker oder ein bestimmtes Gruppenverzeichnis auf einem Dateiserver), sollen in einer globalen Gruppe zusammengefasst werden. Die passenden Rechte für die Ressource sollen jedoch nicht direkt dieser globalen Gruppe erteilt werden. Stattdessen soll eine lokale Gruppe erstellt werden, und die globale Gruppe soll als Mitglied in diese lokale Gruppe aufgenommen werden. Diese lokale Gruppe soll nun die passenden Rechte auf die Ressource erhalten.

Dieses Vorgehen wird damit begründet, dass auf diese Weise auch Mitglieder einer anderen Domäne der Gesamtstruktur auf diese Ressource zugreifen können. Da globale Gruppen immer nur Mitglieder derselben Domäne aufnehmen können, lokale Gruppen jedoch auch globale Gruppen anderer Domänen aufnehmen können, kann auf diese Weise z.B. auf ein Verzeichnis Projekt ABC des Servers S1.HansenVerlag.Company.com nicht nur jedes Mitglied der globalen Gruppe Projekt ABC HansenVerlag der Zugriff gewährt werden, sondern auch der globalen Gruppe Projekt ABC BensonVerlag, wenn die letztere globale Gruppe zur Subdomäne BensonVerlag.Company.com gehört und folglich nur Domänenbenutzer der Subdomäne BensonVerlag enthält.

Sie können und sollten vielleicht auch so vorgehen, wenn Ihre Gesamtstruktur aus politischen Gründen unbedingt eine Vielzahl von Subdomänen unter einer Stammdomäne vereint. Doch macht dies die Verwaltung bestimmt nicht gerade einfacher. Ein Grundprinzip bei der Einführung von Active Directory ist nämlich, dass Sie den Umbau ehemaliger Windows-NT-4.0-Domänen und Netware-Netze nutzen sollten, um diese Komplexität zurückzuführen, indem ehemalige NT-4.0-Domänen unter Microsoft Active Directory in OUs umgewandelt und im Idealfall unter einer einzigen Domäne zusammengeführt werden. OUs sind nämlich später bei Umstrukturierungen viel flexibler als Subdomänen.

Außerdem kommt es in der Praxis oft nur ausnahmsweise vor, dass Mitarbeiter verschiedener Subdomänen auf dieselben Ressourcen zugreifen müssen. Handelt es sich hierbei um Ordner mit Dokumenten (z.B. Projektordner), so können Sie diesen Projektordner aber auch als öffentlichen Exchange-Ordner oder über einen SharePoint Portal Server verfügbar machen. Eine Exchange-Organisation jedoch ist nicht an eine bestimmte Domäne gebunden. Sie können ein und dieselbe Exchange-Organisation für alle Domänen einer Gesamtstruktur nutzen, ja müssen es sogar, da es nicht möglich ist, zwei Exchange-Organisationen in einem Domänenwald parallel zu betreiben.
 << zurück
  
 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchtipps
Zum Rheinwerk-Shop: Windows Server 2012 R2






 Windows Server
 2012 R2
Zum Rheinwerk-Shop: Office 365






 Office 365
Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V
Zum Rheinwerk-Shop: IT-Handbuch für Fachinformatiker






 IT-Handbuch für
 Fachinformatiker
Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren
 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo



Copyright © Rheinwerk Verlag GmbH 2006
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern