joedevlin
Goto Top

Berechtigungskonzept AGDLP

Guten Tag,

wir richten uns bei unserem Berechtigungskonzept im ActiveDirectory derzeit strikt nach dem AGDLP-Prinzip, das aus meiner Sicht in der Theorie auch total sinnvoll und übersichtlich ist. Das bedeutet also beispielsweise:

Der Benutzer MMustermann ist Mitglied der globalen Gruppe Einkauf, diese ist wiederum Mitglied der domänenlokalen Gruppen Abteilungsordner_Einkauf und Buchhaltung_Einkauf. Diese beiden domänenlokalen Gruppen sind wiederum auf die jeweiligen Ordner berechtigt.

Nun ist es bei uns im Unternehmen so, dass wir das klassische Berechtigungskonzept nicht umsetzen können. Aus organisatorischen Gründen wird bei uns aus den Abteilungen kreuz und quer zugegriffen, so dass das Konzept Abteilungen in globale Gruppen zusammenzufassen und diese wiederum den jeweiligen domänenlokalen Gruppen hinzuzufügen nicht funktioniert. Vielmehr erstellen wir für jeden Ordner eine domänenlokale sowie eine globale Gruppe, in diese werden dann die berechtigten Personen hinzugefügt.

Nun meine Frage: Da wir die benötigten globalen Gruppen nicht wie aus IT-Sicht gewünscht reduzieren können, spricht etwas dagegen die Mitglieder direkt der domänenlokalen Gruppe hinzuzufügen und den Zwischenschritt über die globale Gruppe wegzulassen?

Ich denke vom Best Practice her steckt der Sinn ja hinter der Einsparung von Gruppen und damit Replikation, etc., da dies nicht umsetzbar ist, könnte ich zumindest die Anzahl der Gruppen verringern.

Vielen Dank für eure Antworten.

Content-Key: 312975

Url: https://administrator.de/contentid/312975

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: Chonta
Chonta 18.08.2016 um 14:49:02 Uhr
Goto Top
Hallo,

AGDLP-Prinzip ist gut und schön aber ist halt nur eine Empfehlung. Du musst das generelle Prinzip dan auf Deine Umgebung umsetzen.
Wichtig ist das kein Benutzer direkt Rechte bekommt, sondern immer über Gruppenzugehörigkeiten.

Vielmehr erstellen wir für jeden Ordner eine domänenlokale sowie eine globale Gruppe
Und die Benutzer sind dan in beiden Gruppen oder nur in der Globalengruppe?
Du solltest Dir nochmal anschauen was die Sichtbarkeit der Gruppen in Multidomainumgebungen und bei Vertrauensstellungen angeht.
Wenn ihr nur eine Domain habt und nie mehr als eine haben werdet kann auch alles über lokale Gruppen geregelt werden.

Für jeden Ordner eigene Gruppen anzulegen macht keinen Sinn.
Was ihr braucht ist eine Klare Formulierung wer auf welchen Ordner zugreifen können darf, alle anderen sind automatisch verboden.
Wo es egal ist, darf halt jeder drauf und fertig.
Personalabteilung/Buchhaltung/bestimte Chefeprojeckte sind z.B. Strukturen wo nur die berechtigten Benutzer rein dürfen.
Das regelst Du dan über Gruppenmitgliedschaften und der rest ist meist egal.

Als erstes kommt halt immer die Papierüberlegung wo ist regulierter Zugriff nötig und wo nicht und daabe wird dan auch entschieden wer darf und wer nicht und anhand dessen kommt dan AGDLP.
Das AD spiegelt halt nicht die Betriebssturktur nach Abteilungen wieder

Gruß

Chonta
Mitglied: JoeDevlin
JoeDevlin 18.08.2016 um 14:58:38 Uhr
Goto Top
Hallo Chonta,

Zitat von @Chonta:
Und die Benutzer sind dan in beiden Gruppen oder nur in der Globalengruppe?

die Benutzer sind nur in der globalen Gruppe und diese ist wiederum Mitglied von der domänenlokalen Gruppe welche Berechtigungen an der Ressource hat.

Du solltest Dir nochmal anschauen was die Sichtbarkeit der Gruppen in Multidomainumgebungen und bei Vertrauensstellungen angeht.
Wenn ihr nur eine Domain habt und nie mehr als eine haben werdet kann auch alles über lokale Gruppen geregelt werden.

Wir hatten mehrere Domänen, jedoch bin ich gerade kurz vor dem Abschluss der Migration, so dass wir dann nur noch eine Domäne haben. Ich kenne daher die Problematik, da wir überwiegend domänenübergreifend gearbeitet haben, gab es bis jetzt universelle Gruppen sowie domänenlokale Gruppen in der Domäne wo sich die Ressource befindet.


Für jeden Ordner eigene Gruppen anzulegen macht keinen Sinn.
Was ihr braucht ist eine Klare Formulierung wer auf welchen Ordner zugreifen können darf, alle anderen sind automatisch verboden.
Wo es egal ist, darf halt jeder drauf und fertig.
Personalabteilung/Buchhaltung/bestimte Chefeprojeckte sind z.B. Strukturen wo nur die berechtigten Benutzer rein dürfen.
Das regelst Du dan über Gruppenmitgliedschaften und der rest ist meist egal.

Als erstes kommt halt immer die Papierüberlegung wo ist regulierter Zugriff nötig und wo nicht und daabe wird dan auch entschieden wer darf und wer nicht und anhand dessen kommt dan AGDLP.
Das AD spiegelt halt nicht die Betriebssturktur nach Abteilungen wieder

Das ist ja alles geschehen und die vorhandenen Strukturen machen auch Sinn, jedoch ergibt sich aus der Origanisation heraus keine Vereinfachung durch die Verwendung von globalen Gruppen, die dann auf mehrere Ressourcen über domänenlokale Gruppen zugreifen können. Der Grund hierfür liegt darin, dass es eine Menge abteilungsübergreifende Projektordner gibt, auf die jeweils Einzelpersonen aus Abteilungen zugreifen müssen. Es gibt also nicht die Abteilung Einkauf die auf mehrere Ressorucen zugreifen kann, sondern Person X aus dem Einkauf und Person Y aus der Buchhaltung greifen auf Ressource A sowie Person Z aus dem Einkauf und Person T aus dem Marketing auf Ressource B.

Fazit: Die Verwendung von globalen Gruppen verdoppelt die Anzahl der Gruppen im Active Directory, daher würde ich gerne der Einfachheit halber auf globale Gruppen verzichten und die Anwender direkt der domänenlokalen Gruppe hinzufügen.
Mitglied: Chonta
Chonta 18.08.2016 um 15:09:31 Uhr
Goto Top
Hallo,

kannst die Benutzer auch direkt in die Domainenlokalen-gruppen knallen.
Must halt wissen, das die Benutzer dierser lokalen Gruppe nur in der lokalen Domain sichtbar sind.

Gruß

Chonta
Mitglied: agowa338
agowa338 18.08.2016 aktualisiert um 21:07:18 Uhr
Goto Top
Guten TAg,
Zitat von @JoeDevlin:

Guten Tag,

wir richten uns bei unserem Berechtigungskonzept im ActiveDirectory derzeit strikt nach dem AGDLP-Prinzip, das aus meiner Sicht in der Theorie auch total sinnvoll und übersichtlich ist.
Sehr gut face-wink
Nun ist es bei uns im Unternehmen so, dass wir das klassische Berechtigungskonzept nicht umsetzen können. Aus organisatorischen Gründen wird bei uns aus den Abteilungen kreuz und quer zugegriffen, so dass das Konzept Abteilungen in globale Gruppen zusammenzufassen und diese wiederum den jeweiligen domänenlokalen Gruppen hinzuzufügen nicht funktioniert.
Für deinen Fall, würdest du nach dem Prinzip anstelle der Abteilungen halt Aufgaben Gruppen erstellen (Es steht nirgends, dass die Globalen Gruppen Abteilungen sein sollen). Dadurch hast du die Benutzer den Aufgabenbereichen Zugewiesen und die Aufgabenbereiche anschließend den Berechtigungsgruppen.
Vielmehr erstellen wir für jeden Ordner eine domänenlokale sowie eine globale Gruppe, in diese werden dann die berechtigten Personen hinzugefügt.
Darf man fragen, wie du das Genau meinst? Das liest sich jetzt etwas Ungewöhnlich.
Nun meine Frage: Da wir die benötigten globalen Gruppen nicht wie aus IT-Sicht gewünscht reduzieren können, spricht etwas dagegen die Mitglieder direkt der domänenlokalen Gruppe hinzuzufügen und den Zwischenschritt über die globale Gruppe wegzulassen?
Ja, kannst du machen, ist nur wieder unübersichtlicher und erhöht deinen Aufwand bei Neueinstellungen und Abteilungs-/Zuständigkeitswechseln, außer du musst Zugriffe zwischen mehren Domänen sicherstellen.
Ich denke vom Best Practice her steckt der Sinn ja hinter der Einsparung von Gruppen und damit Replikation, etc., da dies nicht umsetzbar ist, könnte ich zumindest die Anzahl der Gruppen verringern.
Die Anzahl der Gruppen ist eigentlich irrelevant, zumindest bin ich noch nicht an einen Punkt gekommen, wo ich mir Gedanken machen musste, dass das Probleme mit der Replikation geben könnte. Solange nicht alle Gruppen Universelle Sicherheitsgruppen sind, sollte das OK sein.


P. S. AGDLP heißt laut Microsoft neuerdings IGDLA face-wink
IGDLA == Identity => Global Group => Domain Local Group => Access
AGDLP == Account => Global Group => Domain Local Group => Permission
Mitglied: JoeDevlin
JoeDevlin 18.08.2016 um 22:02:26 Uhr
Goto Top
Zitat von @agowa338:

Für deinen Fall, würdest du nach dem Prinzip anstelle der Abteilungen halt Aufgaben Gruppen erstellen (Es steht nirgends, dass die Globalen Gruppen Abteilungen sein sollen). Dadurch hast du die Benutzer den Aufgabenbereichen Zugewiesen und die Aufgabenbereiche anschließend den Berechtigungsgruppen.

Das ist schon klar, nur dass Abteilungen für gewöhnlich mehreren Berechtigungsgruppen angehörigen, während bei uns für jede Aufgabengruppe genau eine Berechtigungsgruppe gibt.

Vielmehr erstellen wir für jeden Ordner eine domänenlokale sowie eine globale Gruppe, in diese werden dann die berechtigten Personen hinzugefügt.
Darf man fragen, wie du das Genau meinst? Das liest sich jetzt etwas Ungewöhnlich.

Genau wie beschrieben: Jede Personengruppe hat in der jeweiligen Konstellation nur einen gemeinsamen Berechtigungsordner. Eine angelegte globale Gruppe weise ich also nur einer domänenlokalen Gruppe zu.

Ja, kannst du machen, ist nur wieder unübersichtlicher und erhöht deinen Aufwand bei Neueinstellungen und Abteilungs-/Zuständigkeitswechseln, außer du musst Zugriffe zwischen mehren Domänen sicherstellen.

Das verstehe ich hingegen nicht, wieso unübersichtlicher?

P. S. AGDLP heißt laut Microsoft neuerdings IGDLA face-wink
IGDLA == Identity => Global Group => Domain Local Group => Access
AGDLP == Account => Global Group => Domain Local Group => Permission

Wieder was gelernt face-smile
Mitglied: agowa338
Lösung agowa338 18.08.2016 um 22:30:57 Uhr
Goto Top
Zitat von @JoeDevlin:
Zitat von @agowa338:
Für deinen Fall, würdest du nach dem Prinzip anstelle der Abteilungen halt Aufgaben Gruppen erstellen (Es steht nirgends, dass die Globalen Gruppen Abteilungen sein sollen). Dadurch hast du die Benutzer den Aufgabenbereichen Zugewiesen und die Aufgabenbereiche anschließend den Berechtigungsgruppen.
Das ist schon klar, nur dass Abteilungen für gewöhnlich mehreren Berechtigungsgruppen angehörigen, während bei uns für jede Aufgabengruppe genau eine Berechtigungsgruppe gibt.
Ich dachte eigentlich, dass eventuell mit der Aufgabe noch weitere Sachen wie Freigaben verknüpft sind, z. B. währen ja auch Exchange Berechtigungen oder Mailinglisten möglich, dann könntest du diese Berechtigungen alle mit der Aufgabengruppe verknüpfen und den/die Benutzer mit der Aufgabe. Dadurch wird die Liste "Mitglied in" im AD beim Benuterobject kürzer und übersichtlicher.
Das verstehe ich hingegen nicht, wieso unübersichtlicher?
Naja, solange deine Zuordnung 1:1 ist und du einen Single Domain Forest hast, macht das wirklich keinen Unterschied...