3
Lokale / Globale Gruppen ?
Ist denn eine Unterscheidung in einer kleinen Umgebung wirklich nötig?
Hallo zusammen.
ich muß für eine neue Windows 2003 Domäne die Benutzer und Gruppen einrichten.
Ist es denn wirklich nötig hier eine Unterscheidung zwischen lokalen und globalen Gruppen zu machen?
Kann mir jemand mit einfachen Worten oder anhand eines Beispieles mal den Unterschied erklären? Mal von den Replikationsgeschichten abgesehen.
Ich habe hier eine Domäne mit 4-5 Servern.
Es werden max. 50 Benutzer
Die Gruppen sollen abteilungsweise verwalten werden (z.B. Einkauf, Buchhaltung, Verkauf, Leitung, EDV usw...) Also überschaubar.
Es macht hier doch keinen Sinn, die Benutzerkonten in Globale Gruppen aufzunehmen und dann genau einer globalen Gruppe eine lokale Gruppe zuzuweisen, um mit dieser lokalen Gruppe dann die Berechtigungen zu setzen.
Das könnte ich doch genauso mit den Globalen Gruppen machen. Oder?
Gibt es vielleicht ein Beispiel irgendwo im Internet wo so etwas kleineres mal abgebildet wird?
Alles was ich dazu finde, behandelt immer mehrere Domänen in wer weiß wie vielen Standorten weltweit.
Wir sind nun mal ne Nummer kleiner und ein weiterer Standort wäre keine 10 km weg und per Standleitung in der gleichen Domäne.
Wie gehe ich hierbei am besten vor?
Hat jemand einen Vorschlag oder Beispiel für mich.
Besten Dank schon mal im Voraus.
Gruß
vitus
ich muß für eine neue Windows 2003 Domäne die Benutzer und Gruppen einrichten.
Ist es denn wirklich nötig hier eine Unterscheidung zwischen lokalen und globalen Gruppen zu machen?
Kann mir jemand mit einfachen Worten oder anhand eines Beispieles mal den Unterschied erklären? Mal von den Replikationsgeschichten abgesehen.
Ich habe hier eine Domäne mit 4-5 Servern.
Es werden max. 50 Benutzer
Die Gruppen sollen abteilungsweise verwalten werden (z.B. Einkauf, Buchhaltung, Verkauf, Leitung, EDV usw...) Also überschaubar.
Es macht hier doch keinen Sinn, die Benutzerkonten in Globale Gruppen aufzunehmen und dann genau einer globalen Gruppe eine lokale Gruppe zuzuweisen, um mit dieser lokalen Gruppe dann die Berechtigungen zu setzen.
Das könnte ich doch genauso mit den Globalen Gruppen machen. Oder?
Gibt es vielleicht ein Beispiel irgendwo im Internet wo so etwas kleineres mal abgebildet wird?
Alles was ich dazu finde, behandelt immer mehrere Domänen in wer weiß wie vielen Standorten weltweit.
Wir sind nun mal ne Nummer kleiner und ein weiterer Standort wäre keine 10 km weg und per Standleitung in der gleichen Domäne.
Wie gehe ich hierbei am besten vor?
Hat jemand einen Vorschlag oder Beispiel für mich.
Besten Dank schon mal im Voraus.
Gruß
vitus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 10310
Url: https://administrator.de/contentid/10310
Printed on: April 20, 2024 at 02:04 o'clock
3 Comments
Latest comment
Ich weiss jetzt nicht von was für lokalen Gruppen du sprichst..eine lokale auf einem Server oder eine "domänen lokale" Gruppe.
In beiden Fällen haben lokale Gruppen den Vorteil, dass du in ihnen globale Gruppen aus mehreren Domänen aufnehmen kannst. Da wirst du jetzt sagen: ist mir wurscht, ich hab ja nur eine. Aber das kann sich schnell ändern und dann wirst du heilfroh sein, daß du sie hast.
Ich fasse meine User in globale Gruppen zusammen und berechtige "domänen lokale" Gruppen, in die dann die globalen Gruppen kommen. Das würde ich auch in einem kleinen Netzwerk machen, weil ich gelernt habe, dass es zwar auf den ersten Blick blödsinnig aussieht, man sich aber im nachhinein sehr viel Arbeit sparen wird.
In beiden Fällen haben lokale Gruppen den Vorteil, dass du in ihnen globale Gruppen aus mehreren Domänen aufnehmen kannst. Da wirst du jetzt sagen: ist mir wurscht, ich hab ja nur eine. Aber das kann sich schnell ändern und dann wirst du heilfroh sein, daß du sie hast.
Ich fasse meine User in globale Gruppen zusammen und berechtige "domänen lokale" Gruppen, in die dann die globalen Gruppen kommen. Das würde ich auch in einem kleinen Netzwerk machen, weil ich gelernt habe, dass es zwar auf den ersten Blick blödsinnig aussieht, man sich aber im nachhinein sehr viel Arbeit sparen wird.
Wenn dir eine leichte Administration am Herzen liegt -> JA JA JA
Vergesse die Universellen Gruppen, die produzieren nur überflüssigen Datenträffic bei der Replikation und sind ein Zwischendinger von Globalen und Lokalen Gruppen.
In Globale Gruppen ( GG ) sollten-werden normalerweise global User, Pc und Co in Gruppen sortiert. Hier kann man gut, die User Firmenweit vorsortieren. Hierbei werden aber noch keine Berechtigungen gesetzt, nur die User in für sich sprechende Gruppen sortiert.
Vorteil -> man kann so in den OU's für sich sprechende Gruppen erzeugen, die in fremden Abteilungen Sonderrechte haben können. z.b.
Man kann ein User schnell mal als Stellvertreter zum LT machen.
Verkäufer haben lesenden Zugriff im Einkauf...
z.b. GG-LT-Ein ( Globale Gruppe Leiter Einkauf ) in Einkauf
z.b. GG-Ein ( Globale Gruppe Einkauf ) in Einkauf
z.b. GG-Gast-Ein ( Globale Gruppe Gäste Einkauf ) in Verkauf
In Lokalen Gruppen ( LG ) sollten-werden normalerweise globale Berechtigungsgruppen zusammengefasst um anschließend als Berechtigungsgruppen auf Freigaben gelegt zu werden.
z.b. LG-LT-Ein ( Globale Gruppe Leiter Einkauf )
z.b. LG-Ein ( Globale Gruppe Einkauf )
z.b. LG-Gast-Ein ( Globale Gruppe Gast Einkauf )
GG-LT-Ein + GG-Ein in LG-Ein ( Leiter darf mindestens das was seine Untergebenen dürfen )
GG-LT-Ein in LT-LG-Ein ( Leiter darf im LT Verzeichnis seine Sachen tun )
Wenn du nun auf die Freigaben, die richtigen Zugriffsrechte mit den LG kombinierst, hast du ein relativ einfaches Adminleben. Du brauchst dann nur noch in den OU's die User in die sinnig benannten Gruppen werfen und das war es.
z.b. Freigaben Einkauf
LG-Gast-Ein lesen, LG-Ein Ändern
Global -> Zweckmässige Bezeichnung in einer OU
Lokal -> Rechtmässige Bezeichnung in einer Freigabe
jepp da gebe ich meinereiner recht ! blödsinnig auf dem ersten blick und später ist man froh !
Mfg Metzger Uwe
Vergesse die Universellen Gruppen, die produzieren nur überflüssigen Datenträffic bei der Replikation und sind ein Zwischendinger von Globalen und Lokalen Gruppen.
In Globale Gruppen ( GG ) sollten-werden normalerweise global User, Pc und Co in Gruppen sortiert. Hier kann man gut, die User Firmenweit vorsortieren. Hierbei werden aber noch keine Berechtigungen gesetzt, nur die User in für sich sprechende Gruppen sortiert.
Vorteil -> man kann so in den OU's für sich sprechende Gruppen erzeugen, die in fremden Abteilungen Sonderrechte haben können. z.b.
Man kann ein User schnell mal als Stellvertreter zum LT machen.
Verkäufer haben lesenden Zugriff im Einkauf...
z.b. GG-LT-Ein ( Globale Gruppe Leiter Einkauf ) in Einkauf
z.b. GG-Ein ( Globale Gruppe Einkauf ) in Einkauf
z.b. GG-Gast-Ein ( Globale Gruppe Gäste Einkauf ) in Verkauf
In Lokalen Gruppen ( LG ) sollten-werden normalerweise globale Berechtigungsgruppen zusammengefasst um anschließend als Berechtigungsgruppen auf Freigaben gelegt zu werden.
z.b. LG-LT-Ein ( Globale Gruppe Leiter Einkauf )
z.b. LG-Ein ( Globale Gruppe Einkauf )
z.b. LG-Gast-Ein ( Globale Gruppe Gast Einkauf )
GG-LT-Ein + GG-Ein in LG-Ein ( Leiter darf mindestens das was seine Untergebenen dürfen )
GG-LT-Ein in LT-LG-Ein ( Leiter darf im LT Verzeichnis seine Sachen tun )
Wenn du nun auf die Freigaben, die richtigen Zugriffsrechte mit den LG kombinierst, hast du ein relativ einfaches Adminleben. Du brauchst dann nur noch in den OU's die User in die sinnig benannten Gruppen werfen und das war es.
z.b. Freigaben Einkauf
LG-Gast-Ein lesen, LG-Ein Ändern
Global -> Zweckmässige Bezeichnung in einer OU
Lokal -> Rechtmässige Bezeichnung in einer Freigabe
jepp da gebe ich meinereiner recht ! blödsinnig auf dem ersten blick und später ist man froh !
Mfg Metzger Uwe
Hallo.
Ich danke euch beiden, für eure Ausführungen.
Das zeigt mir schon mal, dass ich es wenigstens richtig verstanden habe.
Ich werde es, euren Vorschlägen entsprechend, anlegen. ist zwar anfangs mehr Arbeit, aber ich glaube mittlerweile auch, dass es dadurch leichter administrierbar ist.
Besten Dank nochmals.
Gruß
vitus
Ich danke euch beiden, für eure Ausführungen.
Das zeigt mir schon mal, dass ich es wenigstens richtig verstanden habe.
Ich werde es, euren Vorschlägen entsprechend, anlegen. ist zwar anfangs mehr Arbeit, aber ich glaube mittlerweile auch, dass es dadurch leichter administrierbar ist.
Besten Dank nochmals.
Gruß
vitus
