Gruppenbereiche unter Windows Server 2003
Vorwort
Jede Gruppe unter Windows Server 2003 besitzt ein Bereichsattribut, welches
bestimmt, welche Sicherheitsprinzipale Mitglieder
der Gruppe sein können und wo Sie diese Gruppen in einer Umgebung mit mehreren
Domänen oder mehreren Gesamtstrukturen
einsetzen können. Windows Server 2003 untertützt die folgenden Gruppenbereiche:
Lokale Gruppen,
Sie befinden
sich auf Mitgliedsservern und Clientcomputern. Verwenden Sie lokale Gruppen,
um Zugriff
auf lokale Ressourcen
auf dem Computer zu gewähren, auf dem diese sich befinden. Sie sind das
einzige Instrument der
Gruppenverwaltung
wenn Sie eine Arbeitsgruppe (auch Peer to Peer Netzwerk genannt) haben.
Globale Gruppen,
Sie befinden
sich im Active directory auf der Domänenebene. Mit globalen Gruppen organisieren
Sie
Benutzer, die
die gleichen Arbeiten verrichten und ähnliche Anforderungen bezüglich
des Netzwerkzugriffs haben (beispielsweise
alle Mitarbeiter
der Buchhaltungsabteilung etc).
Globale Gruppen
können Mitglieder anderer globaler Gruppen, universellen Gruppen und domänenlokaler
Gruppen sein.
Kann
Mitglied sein von:
lokalen Gruppen,
domänenlokalen Gruppen, universellen Gruppen, globalen Gruppen
Mögliche
Mitglieder:
globale Gruppen,
Benutzerkonten, je aus derselben Domäne.
Konvertierung:
Gruppen können
in den Gruppenbereich "Universell" konvertiert werden, solange die
Gruppe kein Mitglied
in einer anderen
Gruppe mit dem Bereich "Global" ist.
Domänenlokale Gruppen,
Sie befinden
sich im Active Directory auf der Domänenebene. Domänenlokale Gruppen
verwenden
Sie, wenn Sie
Zugriffsberechtigungen für Ressourcen zuweisen wollen, die sich in der
Domäne befinden, in der Sie
die domänenlokale
Gruppe erstellen. Sie können alle globalen Gruppen, die die gleichen Ressourcen
verwenden, der
passenden domänenlokalen
Gruppe zuweisen.
Kann
Mitglied sein von:
Mögliche
Mitglieder:
globale Gruppen,
universelle Gruppen, Benutzerkonten, Computerkonten aus beliebigen Domäne,
domänenlokale
Gruppen aus
derselben Domäne,
Konvertierung:
Gruppen können
in den Gruppenbereich "Universell" konvertiert werden, solange keine
andere Gruppe mit
dem Bereich
"Lokale Domäne" Mitglied ist.
Universelle Gruppen,
Sie befinden
sich im Active Directory auf der Gesamtstrukturebene. Mithilfe universeller
Gruppen
können
Sie globale Gruppen verschachteln, sodass Sie Berechtigungen für zusammengehörende
Ressourcen in mehreren
Domänen
vergeben können. Universelle Gruppen können Mitglieder anderer universeller
Gruppen, globaler Gruppen und
domänenlokaler
Gruppen sein. Die Windows Server 2003 Domänenfunktionsebene muss Windows
2000 pur oder höher sein
damit Sie universelle
Sicherheitsgruppen verwenden können. Sie können universelle Verteilergruppen
in einer Windows
Server 2003
Domäne einsetzen, die sich auf der Ebene Windows 2000 gemischt oder höher
befindet.
Die Mitgliederliste
die eine Universelle Gruppe beinhaltet, wird als einzige in Active Directory
repliziert, während die
Mitgliederlisten
von globalen- und domänenlokalen Gruppen nicht repliziert werden. Das bedeutet,
dass die
Replikationslast
durch universelle Gruppen erhöht wird. Sie sollten globale- und/oder domänenlokale
Gruppen
bevorzugen wenn
Sie eine geringere Last der Replikation wünschen.
Kann
Mitglied sein von:
Mögliche
Mitglieder:
Universelle
Gruppen, globale Gruppen, Benutzerkonten, Computerkonten, jeweils in einer beliebigen
Domäne.
Konvertierung:
Gruppen können
in den Gruppenbereich "Lokale Domäne" konvertiert werden. Gruppen
können in den
Gruppenbereich
"Global" konvertiert werden, solange keine anderen universellen Gruppen
Mitglieder sind.
Erstellt von: Haßlinger Stefan
Im: Jahr 2006