Kategorien

AGDLP – Regel

Prinzipiell recht easy:

A: Account, also der Benutzer an sich
G: Global Group, also ne globale Sicherheitsgruppe
DL: Domainlocal Group, also ne domänenlokale Sicherheitsgruppe
P: Permission, also die Berechtigung an sich

Du erstellst dir also ne Globale Sicherheitsgruppe und packst da deine User rein, dann erstellst du ne Domänenlokale Sicherheitsgruppe und packst da die Globale Sicherheitsgruppe samt allen Usern hinein und verpasst dieser Domänenlokalen Gruppe die entsprechenden Berechtigungen z.B: für einen freigegebenen Drucker oder ein freigegebenes Verzeichnis.

Benutzerrechte setzt man NIEMALS direkt auf Benutzer-, sondern immer nur auf Gruppenebene, da andernfalls die ACLs viel zu umfangreich werden und eine Replikation viel zu lange dauern würde. Verschachtelt man die Gruppen wie oben beschrieben ineinander, ändert sich an der Berechtigung selbst ja nichts, diese lautet immer auf die Domänenlokale Gruppe. Lediglich die SIDs der Globalen Sicherheitsgruppe ändern sich, was wiederum bei einer Replikation wesentlich schneller vonstatten geht.
Ausserdem ist das nach diesem Prinzip auch wesentlich besser zu dokumentieren und zu administrieren, da ein User ja durchaus in mehreren Gruppen Mitglied sein kann.

Quelle:
http://www.werthmoeller.de/doc/ausarbeitungen/w2k/node_5/