Gruppen

Eine Gruppe besteht aus Benutzer- und Computerkonten, Kontakten und anderen Gruppen, die als eine Einheit verwaltet werden können. Benutzer- und Computerkonten im Active Directory sind einer physisch vorhandenen Person oder einem Computer zugeordnet. Diese Konten werden als Sicherheitsprincipals bezeichnet, denen eine Sicherheitskennung zugewiesen ist. Objekte mit Sicherheitskennung können sich am Netzwerk anmelden und auf Domänenressourcen zugreifen. Benutzer- und Computerkonten haben folgende Aufgaben:

  • Authentifizierung des Benutzers oder des Computers

  • Zugriffskontrolle auf Domänenressourcen

  • Verwaltung anderer Sicherheitsprincipals

  • Überwachungsaufgaben

Die Verwendung von Gruppen vereinfacht die Verwaltung, indem vielen Konten in einem Schritt einheitliche Berechtigungen und Rechte zugewiesen werden können, anstatt jedem Konto einzeln Berechtigungen und Rechte zuweisen zu müssen.

Gruppen in Active Directory ermöglichen Folgendes:

  • Vereinfachte Verwaltung, indem Berechtigungen für eine freigegebene Ressource nicht einzelnen Benutzern, sondern einer Gruppe zugewiesen werden. Damit erhalten alle Mitglieder der betreffenden Gruppe die gleichen Zugriffsrechte für die Ressource.

  • Delegieren der Verwaltung, indem Benutzerrechte einmal einer Gruppe über Gruppenrichtlinie zugewiesen werden. Anschließend werden die entsprechenden Mitglieder, die dieselben Rechte wie die Gruppe haben sollen, zu dieser Gruppe hinzugefügt.

  • Erstellen von E-Mail-Verteilerlisten. Weitere Informationen finden Sie unter Gruppentypen

Gruppen werden nach dem Bereich und dem Typ kategorisiert. Der Gruppenbereich bestimmt den Anwendungsumfang der Gruppe innerhalb einer Domäne oder Gesamtstruktur.

Gruppenbereich

Jede Sicherheitsgruppe oder Verteilergruppe verfügt über einen Bereich, der identifiziert, in welchem Umfang die Gruppe in der Domänenstruktur oder der Gesamtstruktur verwendet wird. Es gibt drei Gruppenbereiche: Global, Universell und Lokale Domäne.


Gruppentypen

Mithilfe von Gruppen werden Benutzerkonten, Computerkonten und sonstige Gruppenkonten zu leicht verwaltbaren Einheiten zusammengefasst. Durch die Verwendung von Gruppen anstelle von einzelnen Benutzern lässt sich die Netzwerkwartung und -verwaltung deutlich vereinfachen.

In Active Directory gibt es zwei Typen von Gruppen: Verteilergruppen und Sicherheitsgruppen. Mit Verteilergruppen erstellen Sie E-Mail-Verteilerlisten, und mit Sicherheitsgruppen weisen Sie Berechtigungen für freigegebene Ressourcen zu.

  • Verteilergruppen
    Verteilergruppen können nur mit Unterstützung von E-Mail-Anwendungen, wie z. B. Microsoft Exchange, E-Mail an eine Gruppe von Benutzern senden. Für Verteilergruppen ist keine Sicherheit aktiviert, d. h., sie können nicht in DACLs (Discretionary Access Control Lists) aufgeführt werden. Erstellen Sie eine Sicherheitsgruppe, falls Sie eine Gruppe benötigen, um den Zugriff auf freigegebene Ressourcen zu steuern.

  • Sicherheitsgruppen
    Sicherheitsgruppen stellen bei umsichtiger Verwendung eine effiziente Möglichkeit dar, um Zugriffsrechte auf Ressourcen in Ihrem Netzwerk zuzuweisen.

Schachteln von Gruppen
Durch das Schachteln kann eine Gruppe zu einem Mitglied einer anderen Gruppe werden. Durch das Schachteln von Gruppen werden Mitgliedskonten konsolidiert und der Replikationsdatenverkehr reduziert.

Die Schachtelungsoptionen richten sich danach, ob als Domänenfunktionalität der Windows Server 2003-Domäne Windows 2000 im einheitlichen Modus oder Windows 2000 im einheitlichen Modus festgelegt ist.

Bei Gruppen in Domänen im einheitlichen Modus oder bei Verteilergruppen in Domänen im einheitlichen Modus wird die Mitgliedschaft auf folgende Weise bestimmt:

  • Gruppen mit dem Bereich "Universell" können folgende Mitglieder enthalten: Konten, Computerkonten, andere Gruppen mit dem Bereich "Universell" und Gruppen mit dem Bereich "Global" einer beliebigen Domäne.

  • Gruppen mit dem Bereich "Global" können folgende Mitglieder enthalten: Konten derselben Domäne und andere Gruppen mit dem Bereich "Global" aus derselben Domäne.

  • Gruppen mit dem Bereich "Lokale Domäne" können folgende Mitglieder enthalten: Konten, Gruppen mit dem Bereich "Universell" und Gruppen mit dem Bereich "Global" einer beliebigen Domäne. Diesen Gruppen können innerhalb derselben Domäne auch andere Gruppen mit dem Bereich "Lokale Domäne" angehören.

    gemischter Modus einheitlicher Modus
AD DL A - G A - G - U - DL*
G A A* - G*
U - A - G - U
SAM L ASAM - A* - G ASAM - A* - G - U - DL
Peer to Peer L     ASAM

*  ... aus eigener Domäne

Da der Gruppenbereich "Universell" ausschließlich in Domänen mit der Funktionsebene Windows 2000 im einheitlichen Modus oder Windows Server 2003 unterstützt wird, können in Domänen im gemischten Modus von Windows 2000 keine Sicherheitsgruppen mit dem Bereich "Universell" erstellt werden.

Integrierte und vordefinierte Gruppen

Bei der Installation eines Domänencontrollers werden in den Ordnern Vordefiniert und Benutzer der Konsole Active Directory-Benutzer und -Computer mehrere Standardgruppen installiert. Diese Gruppen stellen Sicherheitsgruppen mit allgemeinen Rechten und Berechtigungen dar. Mit Hilfe dieser Gruppen können Sie Konten und Benutzern, die in den Standardgruppen enthalten sind, bestimmte Funktionen, Rechte und Berechtigungen erteilen.

Standardgruppen mit dem Bereich "Lokale Domäne" befinden sich im Ordner Vordefiniert. Vordefinierte Gruppen mit dem Bereich "Global" befinden sich im Ordner Benutzer. Standardgruppen und vordefinierte Gruppen können innerhalb der Domäne zwar in andere Ordner für Gruppen oder Organisationseinheiten, nicht aber in andere Domänen verschoben werden.

Integrierte Gruppen

Im Folgenden sind die in Active Directory-Benutzer und -Computer im Ordner Vordefiniert enthaltenen Standardgruppen aufgeführt:

  • Konten-Operatoren

  • Administratoren

  • Sicherungs-Operatoren

  • Gäste

  • Druck-Operatoren

  • Replikations-Operator

  • Server-Operatoren

  • Benutzer

Diese integrierten Gruppen verfügen über den Bereich "Lokale Domäne" und werden vorwiegend verwendet, um Benutzern mit bestimmten administrativen Funktionen in der Domäne eine Reihe von Standardberechtigungen zuzuordnen. So verfügt die Gruppe "Administratoren" z. B. über ausgedehnte Administratorrechte für sämtliche Konten und Ressourcen innerhalb der Domäne.

Vordefinierte Gruppen

Die folgenden vordefinierten Gruppen sind in Active Directory-Benutzer und -Computer im Ordner Benutzer enthalten:

  • Gruppenname

  • Zertifikatherausgeber

  • Domänen-Admins

  • Domänencomputer

  • Domänencontroller

  • Domänen-Gäste

  • Domänen-Benutzer

  • Organisations-Admins

  • Gruppenrichtlinien-Admins

  • Schema-Admins

Mit Hilfe dieser Gruppen aus dem Bereich "Global" können die unterschiedlichen Benutzerkontentypen in der jeweiligen Domäne (normale Benutzer, Administratoren und Gäste) in Gruppen zusammengefasst werden. Anschließend können diese Gruppen innerhalb dieser und anderer Domänen wiederum Gruppen mit dem Bereich "Lokale Domäne" zugeordnet werden.

Jedes in einer Domäne erstellte Benutzerkonto wird standardmäßig der Gruppe "Domänen-Benutzer", und jedes erstellte Computerkonto automatisch der Gruppe "Domänencomputer" hinzugefügt. In den Gruppen "Domänen-Benutzer" und "Domänencomputer" können alle in der Domäne erstellten Konten dargestellt werden. Sollen beispielsweise alle Benutzer in dieser Domäne Zugriff auf einen Drucker haben, können Sie der Gruppe "Domänenbenutzer" eine Zugriffsberechtigung für den Drucker erteilen (oder die Gruppe "Domänenbenutzer" einer Gruppe mit dem Bereich "Lokale Domäne" hinzufügen, die über Berechtigungen für den Druckerzugriff verfügt). Weitere Informationen zu Strategien für den Einsatz von Gruppen finden Sie unter Gruppenstrategien

Sondergruppenn
Zusätzlich zu den in den Containern Vordefiniert und Benutzer enthaltenen Gruppen weisen Server unter Windows Server 2003 mehrere Sondergruppen auf. Diese Sondergruppen werden zum besseren Verständnis auch unter dem Oberbegriff "Gruppen" geführt. Sondergruppen weisen keine bestimmten Mitgliedschaften auf, die Sie ändern können, sie können jedoch abhängig von den jeweiligen Umständen und dem jeweiligen Zeitpunkt für unterschiedliche Benutzer stehen. Es gibt die folgenden Sondergruppen:

  • Anonymous-Anmeldung
    Benutzer und Dienste, die auf einen Computer und dessen Ressourcen über das Netzwerk zugreifen, ohne dazu einen Kontonamen, ein Kennwort oder einen Domänennamen zu verwenden. Auf Computern unter Windows NT und früher ist die Gruppe Anonymous-Anmeldung ein Standardmitglied der Gruppe Jeder. Auf Computern unter einem Produkt der Windows Server 2003-Produktfamilie ist die Gruppe Anonymous-Anmeldung standardmäßig kein Mitglied der Gruppe Jeder.

  • Jeder
    Alle derzeitigen Netzwerkbenutzer, einschließlich Gäste und Benutzer aus anderen Domänen. Jeder Benutzer, der sich am Netzwerk anmeldet, wird automatisch zur Gruppe Jeder hinzugefügt.

  • Netzwerk
    Benutzer, die derzeit über das Netzwerk auf bestimmte Ressourcen zugreifen (im Gegensatz zu Benutzern, die sich für den Zugriff auf die Ressource lokal an dem Computer anmelden, auf dem die Ressource enthalten ist). Jeder Benutzer, der über das Netzwerk auf eine bestimmte Ressource zugreift, wird automatisch zur Gruppe Netzwerk hinzugefügt.

  • Interaktiv
    Alle Benutzer, die derzeit an einem bestimmten Computer angemeldet sind, und die auf eine bestimmte Ressource auf diesem Computer zugreifen (im Gegensatz zu Benutzern, die über das Netzwerk auf die Ressource zugreifen). Jeder Benutzer, der auf dem Computer, an dem er angemeldet ist, auf eine bestimmte Ressource zugreift, wird automatisch zur Gruppe Interaktiv hinzugefügt.

Zwar können Sondergruppen Rechte und Berechtigungen für Ressourcen zugewiesen werden, aber die Mitgliedschaften können nicht angezeigt oder geändert werden. Gruppenbereiche werden auf Sondergruppen nicht angewendet. Sobald sich ein Benutzer anmeldet oder auf eine bestimmte Ressource zugreift, wird er automatisch einer dieser Sondergruppen zugeordnet.