Active Directory

Berechtigungen für Benutzer und Gruppen verwalten

| Autor: Thomas Joos

https://pixabay.com/
https://pixabay.com/ (https://pixabay.com/)

Die Vergabe von Zugriffsberechtigungen sollte immer an Gruppen erfolgen, da damit der geringste administrative Aufwand entsteht. Wenn ein weiterer Benutzer diese Berechtigung erhalten soll, müssen Sie ein Benutzerkonto nur der Gruppe zuordnen, die Zugriff auf einen Ordner hat. Die Berechtigungen müssen nicht verändert werden.

Ebenso lassen sich die Zugriffsberechtigungen einzelnen Benutzern entziehen, indem Sie diese aus der Gruppe entfernen.

Microsoft empfiehlt folgende Berechtigungsstruktur:

  1. Eine domänenlokale Gruppe erhält Berechtigung auf den Ordner und Freigabe.
  2. Globale Gruppen mit Benutzern werden in die lokale Gruppe aufgenommen.
  3. Benutzerkonten der Anwender sind Mitglieder der einzelnen globalen Gruppen.

Die Berechtigungen im Dateisystem speichert Windows in der Zugriffssteuerungsliste (Access Control List, ACL). Während der Anmeldung erstellt ein Domänencomputer für den Benutzer ein Zugriffstoken, das die Sicherheits-ID (Security ID, SID) des Benutzerkontos enthält, sowie die SIDs der Gruppen, in denen der Benutzer Mitglied ist. Beim Zugriff auf eine Freigabe vergleicht der Server die Einträge des Tokens mit der ACL und ermittelt daraus die Berechtigung. Dazu addiert Windows die Berechtigungen für jeden übereinstimmenden Eintrag. Ein Benutzer bekommt die Berechtigungen, die seinem Konto zugewiesen sind, sowie alle Berechtigungen, die den Gruppen zugewiesen sind, in denen er Mitglied ist.

Geben Sie einem Benutzerkonto die Berechtigung Lesen und bekommt zusätzlich eine Gruppe, in der dieser Benutzer Mitglied ist, die Berechtigung Schreiben zugewiesen, ergeben die effektiven Berechtigungen Lesen und Schreiben.