Active Directory optimal nutzen

Berechtigungen für Benutzer und Gruppen verwalten

| Autor: Thomas Joos

Thomas Joos
Thomas Joos (Thomas Joos)

Die Vergabe von Zugriffsberechtigungen sollte immer an Gruppen erfolgen, da damit der geringste administrative Aufwand entsteht. Wenn ein weiterer Benutzer diese Berechtigung erhalten soll, müssen Sie ein Benutzerkonto nur der Gruppe zuordnen, die Zugriff auf einen Ordner hat. Die Berechtigungen müssen nicht verändert werden. Ebenso lassen sich die Zugriffsberechtigungen einzelnen Benutzern entziehen, indem Sie diese aus der Gruppe entfernen.

Microsoft empfiehlt folgende Berechtigungsstruktur:

    • Eine domänenlokale Gruppe erhält Berechtigung auf den Ordner und Freigabe.
    • Globale Gruppen mit Benutzern werden in die lokale Gruppe aufgenommen.
    • Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.
Die Berechtigungen im Dateisystem speichert Windows in der Zugriffssteuerungsliste (Access Control List, ACL). Während der Anmeldung erstellt ein Domänencomputer für den Benutzer ein Zugriffstoken, das die Sicherheits-ID (Security ID, SID) des Benutzerkontos enthält, sowie die SIDs der Gruppen, in denen der Benutzer Mitglied ist. Beim Zugriff auf eine Freigabe vergleicht der Server die Einträge des Token mit der ACL und ermittelt daraus die Berechtigung. Dazu addiert Windows die Berechtigungen für jeden übereinstimmenden Eintrag. Ein Benutzer bekommt die Berechtigungen, die seinem Konto zugewiesen sind, sowie alle Berechtigungen, die den Gruppen zugewiesen sind, in denen er Mitglied ist.

Geben Sie einem Benutzerkonto die Berechtigung Lesen und bekommt zusätzlich eine Gruppe, in der dieser Benutzer Mitglied ist, die Berechtigung Schreiben zugewiesen, ergeben die effektiven Berechtigungen Lesen und Schreiben. Um die Berechtigungen zu setzen, aktivieren Sie in den Eigenschaften des Ordners oder der Datei die Registerkarte Sicherheit. Zusätzlich ist es möglich, einzelnen Benutzern oder Gruppen Berechtigungen zu verweigern, wobei die Verweigerung immer Vorrang hat.

Beispiel:

Auf eine Datei sollen alle Mitarbeiter der Abteilung Buchhaltung (mit der Mitgliedschaft in der gleich benannten Gruppe) Zugriff erhalten. Eine Ausnahme machen dabei allerdings die Auszubildenden, die ebenfalls Mitglied der Gruppe Buchhaltung sind. Wenn der Gruppe Buchhaltung der Zugriff auf diese Datei erlaubt wird, erhalten auch die Auszubildenden Zugriff, da sie Mitglied der Gruppe sind. Anschließend können Sie der Gruppe Auszubildende den Zugriff verweigern. So erhalten die Auszubildenden zwar den Zugriff durch die Mitgliedschaft in der Gruppe Buchhaltung, der ihnen aber durch die Mitgliedschaft in der Gruppe Auszubildende verweigert wird.