Active Directory Group Scope and Permissions

Hallo zusammen,

Ich sehe oft, dass nicht allen klar ist, wozu der Group Scope von Active Directory Gruppen eigentlich dient. Mit diesem Blog Artikel versuche ich ein bisschen Licht ins Dunkel zu bringen.

Der Group Scope ist auf Technet eigentlich gut Dokumentiert: http://technet.microsoft.com/en-us/library/cc755692(WS.10).aspx

Ich habe versucht, das ganze grafisch Darzustellen. Wir gehen mal davon aus, dass die Gruppen in der Subdomain east.contoso.com erstellt werden. Man sieht nun über den Farbcode, wer alles als Member hinzugefügt werden kann.

Hinzufügen von Members zu einer Gruppe

Auswählen der Location

So sieht das bei einer "Domain Local Group" aus (Member von allen Domains und Forests)

So bei einer "Global Group" (Member nur von derselben Domain)

Universal Group (Member von selben Forest - hier halt nur eine Domain vorhanden)

Berechtigungen zuweisen (AGDLP)

A Accounts
G Global Groups
DL Domain Local
P Permissions

Berechtigungen sollten also immer nur in der Domäne vergeben werden wo die Ressource steht. In dieser Domain eine Domain Local Gruppe erstellen und die Permissions auf diese Gruppe festlegen.

Grüsse

Andres Bohren