AGDLP-Prinzip und Gruppentypen

Gruppen im Active Directory sind das primäre Werkzeug für Berechtigungsverwaltung. Aber es gibt verschiedene Gruppentypen und -bereiche – und wer sie falsch einsetzt, schafft ein Berechtigungs-Chaos das schwer zu durchschauen und noch schwerer zu pflegen ist. Das AGDLP-Prinzip ist die Lösung: Es gibt eine klare Rollenverteilung vor die skalierbar, flexibel und nachvollziehbar ist.

Warum überhaupt ein Prinzip? Stell dir vor, du gibst direkt einem Benutzer Zugriff auf einen Ordner. Dann einem zweiten. Einem dritten. Nach einem Jahr hast du 500 Benutzer direkt auf 200 Ordnern berechtigt – 100.000 individuelle Berechtigungseinträge. Niemand blickt mehr durch. Mit AGDLP: Benutzer in 20 Gruppen. Gruppen auf Ressourcen. Übersichtlich, skalierbar, auditierbar.

1) Die AGDLP-Kette – interaktiv erklärt

AGDLP steht für Account → Global Group → Domain Local Group → Permission. Jeder Buchstabe beschreibt eine Stufe in der Kette. Das Prinzip besagt: Benutzer-Konten kommen in globale Gruppen (die Rolle beschreiben), globale Gruppen kommen in domänenlokale Gruppen (die Ressource beschreiben), und domänenlokale Gruppen bekommen die eigentliche Berechtigung auf die Ressource. Klicke auf eine Stufe:

AGDLP-Kette – Stufe anklicken für Details und Beispiel

Account

mueller.hans

→

Global Group

GG_Verwaltung

→

Domain Local Group

DL_Buchhaltung_Lesen

→

Permission

\\srv\Buchhaltung

← Klicke eine Stufe.

Variante AGUDLP: Zwischen G und DL kann eine Universal Group (U) eingeschoben werden – sinnvoll in Multi-Domain-Forests wo globale Gruppen aus verschiedenen Domains zusammengefasst werden sollen. Universal Groups werden im Global Catalog repliziert – deshalb sparsam einsetzen und nie zu groß werden lassen.

2) Gruppentypen: Sicherheit vs. Verteilung

Jede Gruppe in AD hat einen Typ und einen Bereich (Scope). Der Typ bestimmt wozu die Gruppe genutzt werden kann:

Sicherheitsgruppe: Kann für Berechtigungen auf Ressourcen verwendet werden UND als Verteilerliste für E-Mails. Das ist der Standardtyp im Unternehmensnetzwerk.
Verteilergruppe: Nur für E-Mail-Verteilerlisten (Exchange/Outlook). Kann nicht für Ressourcenberechtigungen genutzt werden. Kein Sicherheits-Token beim Anmelden.

3) Gruppenbereich (Scope) – wer darf was?

Der Bereich bestimmt wo die Gruppe genutzt werden kann. Das ist das meistverstandene und häufig falsch konfigurierte Detail. Die folgende Matrix zeigt welcher Scope welche Mitglieder aufnehmen kann und wo er als Berechtigung eingesetzt werden darf:

Gruppenbereich-Matrix – welcher Scope kann was?

ScopeMitglieder ausBerechtigungen inReplikation

Domain Local Alle Domains + Universal Groups Nur eigene Domain Nur lokale DC

Global Nur aus eigener Domain Alle Domains im Forest Nur lokale Domain

Universal Alle Domains im Forest Alle Domains im Forest Global Catalog ⚠

Universal Groups werden im Global Catalog repliziert. Bei jeder Mitgliedsänderung wird die gesamte Gruppe neu repliziert – bei großen Gruppen kann das zu erheblichem Replikationsverkehr führen. Faustregel: Universal Groups nur für statische Gruppen nutzen, nie für häufig wechselnde Mitgliedschaften.

Zusammenfassung

AGDLP: Account → Global Group (Rolle) → Domain Local Group (Ressource) → Permission. Nie direkt Benutzer auf Ressourcen berechtigen. Gruppentypen: Sicherheit (für Berechtigungen + Mail), Verteilung (nur Mail). Bereiche: Domain Local (nur lokale Berechtigungen), Global (Mitglieder aus eigener Domain, nutzbar überall), Universal (alles, aber Global Catalog – sparsam einsetzen).

AGDLP-Prinzip und Gruppentypen

1) Die AGDLP-Kette – interaktiv erklärt

2) Gruppentypen: Sicherheit vs. Verteilung

3) Gruppenbereich (Scope) – wer darf was?

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title