Strategie und Implementierung von Active Directory-Verschachtelungsgruppen

Der Versuch, Verschachtelungsgruppen in Active Directory einzurichten, kann schnell zu einer Herausforderung werden, insbesondere wenn Sie keinen soliden Entwurf haben.

Microsoft empfiehlt, dass Sie eine Verschachtelung und rollenbasierte Zugriffssteuerung (RBAC) anwenden, insbesondere AGDLP für Umgebungen mit einer Domäne und AGUDLP für Umgebungen mit mehreren Domänen / Gesamtstrukturen. Die Implementierung einer der beiden Anordnungen in einem Legacy-Setup, dem eine klare Strategie für RBAC und Verschachtelung fehlt, kann jedoch einige Zeit in Anspruch nehmen. Der Aufwand lohnt sich, da das Endergebnis Ihre Umgebung sicherer und dynamischer macht.

Warum sollte ich eine Verschachtelungsgruppenstrategie verwenden?

Ein guter Verschachtelungsansatz wie AGDLP oder AGUDLP gibt Ihnen einen guten Überblick darüber, wer über welche Berechtigungen verfügt, was in bestimmten Situationen wie Audits hilfreich sein kann. Dieses Setup ist auch nützlich, da keine Fehlerbehebung erforderlich ist, wenn etwas nicht funktioniert. Schließlich wird der Verwaltungsaufwand reduziert, indem die Zuweisung von Berechtigungen zu anderen Domänen vereinfacht wird.

Was ist AGDLP?

AGDLP steht für:

  • EINccounts (der Benutzer oder Computer)
  • Globale Gruppe (auch Rollengruppe genannt)
  • D.omain L.okale Gruppen (auch Zugangsgruppen genannt)
  • P.Berechtigungen (die spezifische Berechtigung, die an die lokale Domänengruppe gebunden ist)

Das Akronym ist die genaue Reihenfolge, in der die Gruppen verschachtelt werden.
Konten sind Mitglied einer globalen Gruppe, die wiederum Mitglied einer lokalen Domänengruppe ist. Die lokale Domänengruppe verfügt über die spezifische Berechtigung für Ressourcen, auf die die globale Gruppe Zugriff haben soll, z. B. Dateien und Druckerwarteschlangen.
In der folgenden Abbildung sehen wir, wie diese bestimmte Verschachtelungsgruppe zusammenkommt:

AGDLP-Verschachtelungsgruppe
AGDLP ist die von Microsoft empfohlene Verschachtelungsgruppe für die rollenbasierte Zugriffskonfiguration in einer einzelnen Domäneneinstellung.

Mithilfe der AGDLP-Verschachtelungs- und RBAC-Prinzipien erhalten Sie einen Überblick über die spezifischen Berechtigungen einer Rolle, die bei Bedarf problemlos in andere Rollengruppen kopiert werden können. Bei AGDLP müssen Sie nur daran denken, die Berechtigung immer an die lokale Domänengruppe am Ende der Verschachtelungskette und niemals an die globale Gruppe zu binden.

Was ist AGUDLP?

AGUDLP ist die Multi-Domain / Multi-Forest-Version von AGDLP, mit dem einzigen Unterschied, dass eine universelle Gruppe zur Verschachtelungskette hinzugefügt wird. Mit diesen universellen Gruppen können Sie ohne großen Aufwand Rollengruppen (globale Gruppen) aus anderen Domänen hinzufügen.
Die universelle Gruppe – auch als Ressourcengruppe bezeichnet – sollte denselben Namen wie die entsprechende Rollengruppe haben, mit Ausnahme ihres Präfixes, wie unten dargestellt:

AGUDLP-Verschachtelungsgruppe
Für Organisationen mit mehreren Domänen und Gesamtstrukturen wird AGUDLP empfohlen, um das Hinzufügen von Rollengruppen aus anderen Domänen zu vereinfachen.

Was sind die Implementierungsprobleme bei AGDLP / AGUDLP?

Es gibt vier wichtige Regeln für die Verwendung von AGDLP oder AGUDLP:

  1. Entscheiden auf einer Namenskonvention Ihrer Gruppen.
  2. Ein Benutzer kann mehrere Rollen haben. Erstellen Sie nicht mehr Rollengruppen als nötig.
  3. Verwenden Sie immer den richtigen Gruppentyp: Domäne lokal, global, universell usw.
  4. Weisen Sie niemals Berechtigungen direkt den globalen oder universellen Gruppen zu. Dadurch werden die Verschachtelungsstrategie und die entsprechende Berechtigungsübersicht für die Organisation unterbrochen.

Sollten Sie AGDLP oder AGUDLP verwenden?

Wenn Sie keine Berechtigungen für mehrere Domänen zuweisen müssen, verwenden Sie immer AGDLP. Mit AGDLP verschachtelte Gruppen können bei Bedarf in AGUDLP konvertiert werden und erfordern weniger Arbeit für den Betrieb. Wenn Sie Zweifel haben, verwenden Sie AGDLP.
Gehen Sie wie folgt vor, um eine verschachtelte AGDLP-Gruppe in AGUDLP zu konvertieren:

  1. Erstellen Sie eine universelle Gruppe.
  2. Übertragen Sie die Mitgliedschaften der globalen Gruppe auf die universelle Gruppe.
  3. Fügen Sie die universelle Gruppe als Mitglied der globalen Gruppe hinzu.
  4. Lassen Sie alle Benutzer und Computer ihre aktualisieren Kerberos Ticket oder abmelden und einloggen.
  5. Entfernen Sie alle lokalen Domänengruppen aus der globalen Gruppe.

Warum bei Verschachtelungsgruppen eine Namenskonvention erforderlich ist

Sie sollten sich für eine Namenskonvention entscheiden, bevor Sie AGDLP oder AGUDLP implementieren. Es ist keine Anforderung, aber ohne eine verlieren Sie schnell die Kontrolle über die Organisation, an deren Aufbau Sie gearbeitet haben.
Es gibt mehrere Namensschemata, aber Sie können ein benutzerdefiniertes Schema erstellen, das zu Ihrer Organisation passt. Eine gute Namenskonvention sollte die folgenden Kriterien haben:

  • Sei leicht zu lesen.
  • Seien Sie einfach genug, um mit Skripten zu analysieren.
  • Enthalten keine Leerzeichen wie Leerzeichen.
  • Enthalten keine Sonderzeichen – Zeichen, die keine Zahlen oder aus dem Alphabet stammen – außer dem Unterstrich oder dem Minuszeichen.

Hier einige Beispiele für die verschiedenen Gruppentypen:
Rollengruppen
Namenskonvention: Rolle_[Department]_[RoleName]
Beispiele: Role_IT_Helpdesk oder Role_HR_Managers
Wenn Sie das AGUDLP-Prinzip verwenden, sollte es eine entsprechende Ressourcengruppe mit a geben Res Präfix wie Res_IT_Helpdesk oder Res_HR_Managers.
Berechtigungsgruppen (lokale Domänengruppen)
Namenskonvention: ACL_[PermissionCategory][PermissionDescription][PermissionType]
Beispiele: ACL_Fileshare_HR-Common_Read oder ACL_Computer_Server1_Logon oder ACL_Computer_Server1_LocalAdmin.

Ausführen von AGDLP und AGUDLP

Es könnte schwierig sein, AGDLP in älteren Domänen zu implementieren, denen eine herkömmliche Anordnung fehlt. Es ist unbedingt erforderlich, diese gründlich zu identifizieren und zu testen, um viele der Kuriositäten aufzudecken, damit alles dem neuen Setup entspricht.
Ein grober Überblick über den Umsetzungsplan sieht folgendermaßen aus:

  • Informieren und informieren Sie Ihre Mitarbeiter, damit sie keine Gruppen erstellen und Berechtigungen so zuweisen können, dass die neue Regelung nicht eingehalten wird.
  • Bitten Sie die Personalabteilung um Unterstützung bei der Identifizierung von Rollen. Es ist möglich, dass ein Benutzer mehrere Rollen hat.
  • Erstellen Sie Rollengruppen und deren entsprechende Res Gruppen – wenn Sie AGUDLP verwenden – und neue Berechtigungen mit dem AGDLP / AGUDLP-Prinzip zuweisen.
  • Identifizieren Sie vorhandene Berechtigungen und ändere sie sich an AGDLP / AGUDLP halten. Sie können die Gruppen entweder umbenennen und ihren Gruppentyp anpassen oder neue Gruppen nebeneinander erstellen, um die alte Gruppe zu einem späteren Zeitpunkt zu ersetzen.

Similar Posts

Leave a Reply