Standortberechtigungen im Active Directory
Viele Unternehmen wollen Berechtigungen auf Standorte bezogen verteilen. Wenn Standorte in Organisationseinheiten (OUs) organisiert sind, wird die Berechtigung mit Bordmitteln schwierig. Active Directory sieht keine Berechtigungen auf OUs vor. Die Herausforderung besteht also darin Standortberechtigungen anhand der OU-Struktur zu vergeben.
Index
Standortberechtigungen über die ADUC vergeben
Das Beispielszenario:
- Für die Standort-OU „DE“ soll eine Berechtigungsgruppe erstellt werden.
- Für alle Unter-OUs soll es Berechtigungsgruppen geben.
- Alle Standortgruppen sollen sich automatisch aktualisieren.
Um diesen Anwendungsfall mit der “Active Directory Users and Computers”-Konsole (ADUC) abzubilden, navigieren wir in der Konsole zu der gewünschten OU.
In unserem Beispiel hat diese OU weitere Unterstrukturen, die wir einzeln durchgehen müssen. Berechtigungen direkt auf OUs (hier: Standorte) zu verteilen, ist mit der ADUC nicht möglich. Die einzige Möglichkeit ist in jeder der Unter-OUs, alle Benutzer-Objekte auszuwählen und den Kontextmenüpunkt “Add to a group…” ausführen. Daraufhin wird der folgende Dialog angezeigt, in welchem wir eine (Berechtigungs-)Gruppe auswählen, zu der wir die Benutzer hinzufügen wollen. Der Umweg führt also über OU-Gruppen.
Auf diese Weise können wir Stück für Stück alle Benutzer zu Ihrer jeweiligen Standortberechtigung hinzufügen.
Was aber,
- wenn sich solche Berechtigungen Standortweit ändern? Oder
- wenn Benutzer zu einem Standort hinzugefügt oder davon entfernt werden müssen?
Hier automatisiert DynamicGroup die Veränderungen und nimmt Ihnen viel Wartungsarbeit ab.
Standortberechtigungen mit DynamicGroup
In DynamicGroup können Sie einfach dynamische Gruppen erstellen, die sich auf die OU-Struktur beziehen. Diese Gruppen aktualisieren sich automatisch, wodurch jegliche Änderungen an Standortzugehörigkeit immer auf dem neuesten Stand sind.
Die Vorteile mit DynamicGroup
- Benutzer, die neu in eine (oder mehrere) OUs kommen, werden zur Standortgruppe hinzugefügt
- Benutzer, die sich nicht mehr in der OU befinden, werden aus der Standortgruppe entfernt
- Benutzer, für die eine Include-Ausnahmeregeln gilt, behalten Ihre Mitgliedschaft
- Benutzer, für die eine Exclude-Ausnahmeregel gibt, werden nie Mitglied, selbst wenn sie in der OU sind
Außerdem können standortweite Änderungen einfach für die komplette dynamische Gruppe auf einmal vorgenommen werden.
Manuell oder automatisierte Gruppen erstellen
Es gibt zwei Möglichkeiten mit DynamicGroup, um OU-Strukturen als Gruppen abzubilden:
- Wir erstellen jede dynamische Gruppe einzeln und setzen die Filter
Hier können von Beginn an Feinheiten für jede Gruppe unterschieden werden - Wir nutzen den “SmartCreation” Wizard
Die Massenanlage erstellt gleichartige Gruppen entlang des AD-Baums
Manuelle Anlage von dynamischen OU-Gruppen
Hier möchten wir eine dynamische Gruppe für alle US OUs erstellen. Dafür werden wir mit folgender OU-Struktur arbeiten:
Erstellen Sie über die DynamicGroup-Konsole wie gewohnt eine neue, dynamische Gruppe. Wo diese Gruppe gespeichert wird, oder wie sie heißt ist dabei nicht relevant, wir empfehlen jedoch eine einheitliche Namensgebung z.B. mit einem Präfix oder dem OU-Pfad im Namen.
Je nachdem, ob Sie nur Benutzer in die dynamische Gruppe aufnehmen wollen oder auch andere Objekte, müssen Sie unter dem Reiter “Member Query” Einschränkungen vornehmen. In unserem Beispiel haben wir die Mitglieder der dynamischen Gruppe auf Benutzer-Objekte beschränkt.
Unter Search Root müssen Sie nur noch die US OU aussuchen.
Wir haben auf diesem Weg einmal die dynamische Gruppe erstellt und wir müssen nun keine Anpassungen mehr an Benutzern vornehmen um Standortberechtigungen aktuell zu halten, da die dynamische Gruppe diese Aufgabe für Sie übernimmt.
Hinweis: Durch die Zusatzfunktion „OU Filter„, die im Beispiel zur Vereinfachung nicht verwendet wurde, setzen Sie zusätzliche Filter, um z.B. mehrere bestimmte Sub-OUs in einer Gruppe zubündeln.
Es geht jedoch noch schneller: mit dem Smart Creation Wizard von DynamicGroup.
Automatische Massenanlage mit Smart Creation Wizards
Der Smart Creation Wizard kann dazu genutzt werden, um automatisch für OUs dynamische Gruppen zu erstellen. Es wird dabei für jede OU eine eigene Gruppe erstellt, daher wird anders als im Vorangegangenen Beispiel nicht mit dem “OU Filter” gearbeitet sondern lediglich die jeweilige OU als “Search Root” in der “Member Query” hinterlegt.
Um die “Smart Creation” zu verwenden, wählen Sie in den Menüpunkt “DynamicGroup Wizards” den entsprechenden Unterpunkt aus. Daraufhin wird ein Dialog geöffnet.
Im ersten Teil des Wizards geben Sie als “Start OU for Wizard” die Übergeordnete OU an, in der sich alle Standort-OUs befinden, für die eine dynamische Gruppe erstellt werden soll (Rote Markierung). Dies entspricht in unserem Beispiel wieder der Übergeordneten OU aus dem vorherigen Abschnitt.
Die Wizard Scope ist dagegen nicht dieselbe Scope Einstellung wie im vorherigen Abschnitt. Hiermit legen Sie fest, ob auch für Unter-OUs eigene dynamische Gruppen erstellt werden sollen, oder nur für die OUs auf erster Ebene.
Um auf unser Beispiel zurück zu kommen: Wählen Sie hier “Subtree” aus. Es wird nicht nur für die OUs “DE” und “US” eine dynamische Gruppe erstellt sondern auch für alle untergeordneten OUs wie Accounting, IT, Users, …
Der Query Mode bestimmt, ob die dynamischen Gruppen anhand der OU-Struktur oder anhand eines anderen Filters erstellt werden. Sie sollten die Einstellung auf “Organizational Unit” setzen.
Im zweiten Teil des Wizards bestimmen Sie allgemeine Einstellungen zu den Gruppen. Sie bestimmen hier zum einen wo die erstellten Gruppen gespeichert werden sollen und welchen Prefix die Gruppen erhalten sollen.
Zudem legen Sie hier die AD-spezifischen Einstellungen “Group Scope” und “Group Type” fest, als auch ob die dynamischen Gruppen aktiv oder inaktiv angelegt werden sollen.
In dritten und letzten Teil des Wizards können Sie abschließend einfache Einschränkungen an der “Member Query” vornehmen. In unserem Beispiel haben wir wieder die Mitglieder auf Benutzer-Objekte beschränkt.
Außerdem können Sie hier über die “flat group” Einstellung entscheiden, ob auch Benutzer, die Mitglied von Gruppen innerhalb der gefundenen OU sind, in die dynamische Gruppe aufgenommen werden sollen.
Klicken Sie nun abschließend auf “Start”. Die dynamischen Gruppen für Ihre Standorte werden nun automatisch erstellt.
Sollten Sie weitere Filter, oder die Include/Exclude-Listen verwenden möchten, können Sie dies nun einzeln je dynamische Gruppe konfigurieren.
Fazit
In der Praxis werden Standorte oft über OU-Strukturen im Active Directory abgebildet. Das können Sie mit DynamicGroup zu Ihrem Vorteil nutzen. Lassen sie sich durch den Smart Creation Wizard ganz einfach dynamische Gruppen je Standort erstellen, oder nehmen Sie die Erstellung selbst vor um umfangreiche OU-Filterungen vorzunehmen. So oder so nehmen Sie sich viel Wartungsarbeit ab und machen Ihre Berechtigungsverwaltung einfacher und sicherer.
30 Tage Testversion downloaden und weitere Informationen