Gruppenarten in Windows

---

Gruppen wurde eingeführt, damit Rechte nicht direkt an Benutzern vergeben werden müssen. Benötigt ein Benutzer bestimmt Berechtigungen, wird dafür eine entsprechende Gruppe eingerichtet und der Benutzer wird dieser Gruppe zugewiesen. Wenn schon zwei Benutzer die gleiche Berechtigung benötigten, ist diese Art der Rechtevergabe übersichtlicher.

Gruppen bei Windows NT

Bei Windows NT gab es nur zwei Arten von Gruppen (lokale und globale Gruppen). Die Regeln waren hier noch recht einfach und übersichtlich.

 

Globale Gruppen konnten nur Benutzerkonten aufnehmen und

lokalen Gruppen konnten Benutzerkonten und globale Gruppen enthalten.

 

Tabelle 1

Art der Gruppe	Benutzer aufnehmen	globale Gruppen aufnehmen
lokal	Ja	Ja
global	Ja	Nein

 

Standardmäßig wurden über die lokalen Gruppen die Zugriffe auf die Ressourcen geregelt und die Benutzerkonten den globalen Gruppen zugeordnet. Sollte ein Benutzer Zugriff auf eine Ressource bekommen, wurde die globale Gruppe einfach in die lokale Gruppe aufgenommen.

 

Hinweis:

Administratoren, die Ihr Netzwerk auf Windows 2000 umstellen wollen, sollten diese Regel beachtet haben, da Windows bei der Umstellung der Gruppen von dieser Regelung ausgeht.

 

Gruppen ab Windows 2000

Ab Windows 2000 gibt es jetzt 3 Arten von Gruppen (lokale, globale und universelle Gruppen) die es jeweils noch als zwei Typen gibt (Sicherheits- und Verteilergruppen). Lokale und globale Gruppen sind die bekannten Gruppen aus Windows NT und können nur innerhalb einer Domäne existieren. Aus diesem Grunde wurden noch die universellen Gruppen für den globalen Katalog eingeführt. Diese Gruppen gelten über die Grenzen einer Domäne hinweg in der gesamten Struktur.

Lokale Gruppen:

Lokale Domänengruppen werden vor allem verwendet, um Berechtigungen für Ressourcen zuzuweisen. Eine lokale Gruppe hat folgende Eigenschaften:

• Offene Mitgliedschaft
  Es können Personen aus beliebigen Domänen hinzugefügt werden
  
• Zugriff auf Ressourcen in einer Domäne
  Über eine lokale Domänengruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in der gleichen Domäne befindet, wie die lokale Gruppe

Globale Gruppen:

Globale Gruppen werden in der Regel verwendet, um Benutzer zu organisieren. Eine globale Gruppe hat folgende Merkmale:

• Eingeschränkte Mitgliedschaften
  Nur Personen aus der gleichen Domäne können in die Gruppe aufgenommen werden.
  
• Zugriff auf Ressourcen in allen Domänen
  Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden
  

Universelle Gruppen:

Universelle Gruppen werden vor allem verwendet, um verbundene Ressourcen in mehreren Domänen Berechtigungen zuzuweisen. Eine universelle Sicherheitsgruppe hat folgende Merkmale:

• Offene Mitgliedschaft
  Es können Personen aus beliebigen Domänen hinzugefügt werden
• Zugriff auf Ressourcen in allen Domänen
  Über eine globale Gruppe können Berechtigungen auf eine Ressource zugewiesen werden, die sich in einer beliebigen Domäne befinden
• Nur im einheitlichen Modus verfügbar (d.h. auch im Mixed Mode 2000/2003)
  

 

Was ist eine Sicherheitsgruppe?

Mit Sicherheitsgruppen kann der Zugriff auf das Active Directory, Objekte und Verzeichnisse/Dateien geregelt werden, und sie können in deren ACL (Access Control Lists) auftauchen. Die Mitgliedschaft dieser Gruppen wird bei der Anmeldung überprüft, und alle Benutzerrechte werden hiermit geregelt.

 

Was ist eine Verteilergruppe?

Gewährt den Zugriff auf Verteilerlisten (E-Mail Verteiler), es können hiermit aber keine Benutzerrechte gesetzt werden. Diese Gruppenart wird bei der Anmeldung nicht berücksichtigt. Das hat den Vorteil, dass selbst, wenn ein Anwender in vielen Verteilerlisten ist, die Anmeldezeit dadurch nicht beeinflusst wird.

 

Zwei Modi (Mixed/Native Mode)

Will man jetzt betrachten, welche Gruppe in anderen Gruppen aufgenommen werden kann, muss man einen wichtigen Punkt beachten. Je nachdem, in welchem Modus Windows betrieben wird, unterscheidet sich diese Übersicht.

 

Arbeitet Windows noch im so genannten "gemischten Modus - Mixed Mode" (Windows und NT BDC Server werden noch zusammen eingesetzt) oder im "einheitlichen Modus . Native Mode" (nur noch Windows Server werden eingesetzt) (weitere Infos unter "Gemischter und einheitlicher Modus"). Da sich im "gemischten Modus" der NT BDC noch mit dem Windows FSMO abgleichen muss (dieser übernimmt die Rolle des PDC), müssen auch die Gruppen die Regeln von Windows NT beachten.

 

Darum habe ich hier zwei Tabellen für den jeweiligen Modus erstellt:

 

Gemischter Modus (Mixed Mode):

Tabelle 2

		lokal	lokal	global	global
Gruppe	Typ	Verteiler	Sicherheit	Verteiler	Sicherheit
lokal	Verteiler	Ja	Ja	Ja	Ja
lokal	Sicherheit	Nein	Nein	Ja	Ja
global	Verteiler	Nein	Nein	Ja	Ja
global	Sicherheit	Nein	Nein	Nein	Nein

 

Im gemischten Modus gibt es die Gruppenart "universell" nicht!

 

Einheitlicher Modus (Native Mode):

Tabelle 3

		lokal	lokal	global	global	universell	universell
Gruppe	Typ	Verteiler	Sicherheit	Verteiler	Sicherheit	Verteiler	Sicherheit
lokal	Verteiler	Ja	Ja	Ja	Ja	Ja	Ja
lokal	Sicherheit	Ja	Ja	Ja	Ja	Ja	Ja
global	Verteiler	Nein	Nein	Ja	Ja	Nein	Nein
global	Sicherheit	Nein	Nein	Ja	Ja	Nein	Nein
universell	Verteiler	Nein	Nein	Ja	Ja	Ja	Ja
universell	Sicherheit	Nein	Nein	Ja	Ja	Ja	Ja

 

Die Unterschiede zu Tabelle 2 wurden ROT dargestellt

 

Umwandeln von Gruppen

 

Ab Windows 2000 können Sie jetzt jederzeit die Gruppenart verändern. Beim Umwandeln eines Gruppentypen in einen anderen müssen Sie natürlich beachten, dass diese Gruppe keine Einträge enthält, die in der neuen Gruppe nicht vorhanden sein darf.

 

Wollen Sie z.B. eine lokale Gruppe in eine globale Gruppe umwandeln die aber noch eine lokale Gruppe enthält, wird von Windows 2000 diese Umwandlung nicht durchgeführt, da eine globale Gruppe keine lokale Gruppe enthalten kann.

 

Sie können im "einheitlichen Modus" auch den Typ der Gruppe ändern und Sicherheitsgruppen <-> Verteilergruppen umwandeln und globale/lokale Gruppen können zu universellen Gruppen umgewandelt werden, wenn sie den Bedingungen aus Tabelle 3 entsprechen.

---