Verwalten von Benutzern und Gruppen mithilfe von Active Directory

  • 4 Minuten

Es gibt zwei Arten von allgemeinen Sicherheitsprinzipalen in Active Directory: Benutzerkonten und Computerkonten. Diese Konten stellen eine physische Entität (eine Person oder einen Computer) dar.

Wie bei lokalen Konten werden domänenbenutzerkonten in den meisten Fällen für jeden Benutzer erstellt. Dieses Konto enthält seinen Benutzernamen und sein Kennwort sowie Informationen über den Benutzer, z. B. seinen Namen, seinen Standort, seine Abteilung usw. Im Gegensatz zu einem lokalen Konto können Domänenkonten jedoch verwendet werden, um sich mit anderen Geräten im Netzwerk (mit den richtigen Berechtigungen) anzumelden. Der offensichtliche Vorteil ist, dass Administratoren Benutzerkonten über eine organization anstelle jedes einzelnen Geräts zentral verwalten können.

Wie lokale Konten können Domänenbenutzerkonten auch als dedizierte Dienstkonten für Anwendungen oder Dienste verwendet werden.

Active Directory-Gruppen

Gruppen werden verwendet, um Benutzerkonten, Computerkonten und andere Gruppen in verwaltbaren Einheiten zu sammeln. Mithilfe von Gruppen können Administratoren Aktivitäten wie Berechtigungen im großen Stil verwalten. Wenn Benutzer innerhalb des Unternehmens eine Position betreten, verlassen oder ändern, empfiehlt es sich, Gruppen zu definieren, die sowohl eine Rolle als auch eine Gruppe darstellen können, und der Gruppe Berechtigungen zuzuweisen. Benutzer können gruppen hinzugefügt und entfernt werden, anstatt bei jeder Personaländerung Berechtigungen bestimmen zu müssen.

Es gibt zwei Arten von Gruppen in Active Directory:

  • Verteilergruppen Wird zum Erstellen von E-Mail-Verteilerlisten verwendet. Verteilergruppen können nur mit E-Mail-Anwendungen (z. B. Exchange Server) verwendet werden, um E-Mails an Benutzersammlungen zu senden. Verteilergruppen sind nicht sicherheitsfähig, was bedeutet, dass sie nicht in DACLs (Discretionary Access Control Lists) aufgeführt werden können.
  • Sicherheitsgruppen Wird zum Zuweisen von Rechten und Berechtigungen verwendet.
    • Benutzerrechte werden einer Sicherheitsgruppe zugewiesen, um zu bestimmen, was Mitglieder dieser Gruppe innerhalb des Bereichs einer Domäne oder Gesamtstruktur tun können. Benutzerrechte definieren die Administratorrolle einer Person in der Domäne. Beispielsweise kann ein Benutzer, der der Gruppe Sicherungsoperatoren in Active Directory hinzugefügt wird, Dateien und Verzeichnisse sichern und wiederherstellen, die sich auf jedem Domänencontroller in der Domäne befinden. Dies ist möglich, da standardmäßig die Benutzerrechte Sicherungsdateien und Verzeichnisse sowie Dateien und Verzeichnisse wiederherstellen automatisch der Gruppe Sicherungsoperatoren zugewiesen werden. Daher erben Mitglieder dieser Gruppe die Benutzerrechte, die dieser Gruppe zugewiesen sind. Sie können Gruppenrichtlinie verwenden, um Sicherheitsgruppen Benutzerrechte zuzuweisen, um bestimmte Aufgaben zu delegieren.
    • Berechtigungen unterscheiden sich von Benutzerrechten. Berechtigungen werden der Sicherheitsgruppe für die freigegebene Ressource zugewiesen. Berechtigungen bestimmen, wer auf die Ressource zugreifen kann, und die Zugriffsebene, z. B. Vollzugriff. Sicherheitsgruppen werden in DACLs aufgeführt, die Berechtigungen für Ressourcen und Objekte wie Dateifreigaben oder Drucker definieren.

Hinweis

Sowohl Verteilergruppen als auch Sicherheitsgruppen können als E-Mail-Entität verwendet werden.

Active Directory-Standardsicherheitsgruppen

Es gibt mehrere integrierte Gruppen, die bei der Installation von Active Directory standardmäßig erstellt werden. Die folgende Liste enthält einige der häufig verwendeten Gruppen:

  • DnsAdmins : Mitglieder dieser Gruppe haben Administratorzugriff auf den DNS-Serverdienst.
  • Domänenadministratoren: Benannte Administratoren der Domäne; Die Gruppe "Domänenadministratoren" ist Mitglied der lokalen Administratorgruppe jedes in die Domäne eingebundenen Computers und erhält zusätzlich zur Gruppe "Administratoren" der Domäne Rechte und Berechtigungen, die der lokalen Gruppe "Administratoren" gewährt werden.
  • Domänencomputer : Alle Arbeitsstationen und Server, die der Domäne beigetreten sind, sind standardmäßig Mitglieder dieser Gruppe.
  • Domänenbenutzer : Alle Benutzer in der Domäne
  • Unternehmensadministratoren: Unternehmensadministratoren sind wie Domänenadministratoren, verfügen aber über Berechtigungen zum Ändern gesamtstrukturweiter Konfigurationseinstellungen. Die Gruppe "Unternehmensadministratoren" ist Mitglied der Administratorgruppe jeder Domäne und erhält Berechtigungen und Berechtigungen, die dieser Gruppe gewährt werden.
  • IIS_IUSRS : Integrierte Gruppe, die von Internetinformationsdiensten verwendet wird.
  • Druckoperatoren : Mitglieder dieser Gruppe können Domänendrucker verwalten.
  • Remotedesktopbenutzer : Mitgliedern dieser Gruppe wird das Recht gewährt, sich per RDP remote anzumelden.