nicht angemeldet
Gruppen unter Windows 2003 Server
Abend Leute,
ich muss bis morgen (ja, ja, immer diese Leute, die alles in der letzten Sekunde machen) eine Präsentation über die verschiedenen Gruppen von Windows 2003 Server machen. Dabei liegt das Hauptaugenmerk auf den Aufgabenbereichen und Unterschieden von lokalen, globalen und universellen Gruppen. Darüber Informationen zu finden ist mit Google an sich eine Sache von Sekunden. (Jetzt kommt aber noch das große Aber)
Ich finde nicht wirklich für mich verständliche Informationen wozu diese Gruppen von Nutzen sind.
http://www.winfaq.de/faq_html/tip1147.htm
Diese Seite enthält Informationen, die mir logisch erscheinen, die an sich auch einfach zu verstehen sind, die aber (meiner Meinung nach) im kompletten Gegensatz zu der Aussage dieser Seite stehen:
http://www.lsg.musin.de/Admin/knowhow/ntrights/gruppen.htm
Das hat mich doch enorm verunsichert. Ich höre immer wieder vollkommen unterschiedliche Sachen zu diesen Gruppen und weiß nicht mehr, wem ich noch glauben soll.
Zudem finde ich kaum Informationen zu praktischen Beispielen, wo man welche Gruppen wie und warum verwendet. (Allerdings kann es auch nur sein, dass ich da noch nicht lang genug gesucht habe.)
Wenn also irgendjemand so nett wäre und mir die eine oder andere gute Seite empfehlen könnte? Eine, die möglichst zuverlässige Informationen enthält und nicht so ein Möchtegernfachwissen (davon habe ich selber genug, danke auch).
Ich bin zugegebenermaßen auch recht anspruchsvoll was gute Texte angeht, die auch noch schwierige Themen behandeln. Vielleicht hat ja einer einfach eine Idee?
Vielen Dank für jegliche Bemühungen,
Karin
-
Hallo Karin,
Abend Leute,
ich muss bis morgen (ja, ja, immer diese Leute, die alles in der letzten Sekunde machen) eine Präsentation über die verschiedenen Gruppen von Windows 2003 Server machen. Dabei liegt das Hauptaugenmerk auf den Aufgabenbereichen und Unterschieden von lokalen, globalen und universellen Gruppen. Darüber Informationen zu finden ist mit Google an sich eine Sache von Sekunden. (Jetzt kommt aber noch das große Aber)
Ich zitiere aus "Microsoft Windows 2000 Server - Original Microsoft Training", Microsoft Press:
Lokale Domänengruppen
Lokale Domänengruppen werden vor allem verwendet, um Berechtigungen für Ressourcen zuzuweisen. Eine lokale Domänengruppe hat folgende Merkmale:
- Offene Mitgliedschaft
Sie können Mitglieder aus einer beliebigen Domäne hinzufügen - Zugriff auf Ressourcen in einer Domäne
Sie können mit Hilfe einer lokalen Domänengruppe Berechtigungen
zuweisen, um nur auf die Ressourcen zuzugreifen, die sich in
der gleichen Domäne befinden, in der Sie die lokale Domänengruppe
erstellt haben
Globale Gruppen
Globale Gruppen werden in der Regel verwendet, um Benutzer zu organisieren, für die gleiche Netzwerkzugriffsanforderungen bestehen. Eine globale Gruppe hat folgende Merkmale:
- Eingeschränkte Mitgliedschaft
Sie können nur Mitglieder aus der Domäne hinzufügen, in der Sie
die globale Gruppe erstellt haben. - Zugriff auf Ressourcen in allen Domänen
Sie können mit Hilfe einer globalen Gruppe Berechtigungen zuweisen,
um auf Ressourcen zuzugreifen, die sich in einer beliebigen Domäne
befinden
Universelle Gruppen
Universelle Gruppen werden vor allem verwendet, um verbundene Ressourcen in mehreren Domänen Berechtigungen zuzuweisen. Eine universelle Sicherheitsgruppe hat folgende Merkmale:
- Offene Mitgliedschaft
Sie können Mitglieder aus einer beliebigen Domäne hinzufügen - Zugriff auf Ressourcen in allen Domänen
Sie können mit Hilfe einer globalen Gruppe Berechtigungen zuweisen,
um auf Ressourcen zuzugreifen, die sich in einer beliebigen Domäne
befinden - Nur im einheitlichen Modus verfügbar (d.h. auch im Mixed Mode 2000/2003)
Ich finde nicht wirklich für mich verständliche Informationen wozu diese Gruppen von Nutzen sind.
Deine erste Anlaufstelle sollte der Hersteller des Produktes sein, einen Überblick bietet http://support.microsoft.com/default.aspx?scid=kb;en-us;816302.
Vereinfacht gilt folgender Leitsatz: Vergib nie Rechte einzelnen Benutzern, sondern nur Gruppen. Wenn ein Benutzer bestimmte Rechte benötigt, so füge ihn der Gruppe hinzu, die über diese bestimmten Rechte verfügt. Benötigt dieser Benutzer diese Rechte nicht mehr, so entferne ihn aus dieser Gruppe.
http://www.winfaq.de/faq_html/tip1147.htm
Diese Seite enthält Informationen, die mir logisch erscheinen, die an sich auch einfach zu verstehen sind, die aber (meiner Meinung nach) im kompletten Gegensatz zu der Aussage dieser Seite stehen:
http://www.lsg.musin.de/Admin/knowhow/ntrights/gruppen.htmDas konnte ich jetzt nicht nachvollziehen. Genauer gesagt, habe ich die Tabellen 2 und 3 der ersten Quelle nicht verstanden. Die Tabelle der zweiten Quelle ist richtig.
Das hat mich doch enorm verunsichert. Ich höre immer wieder vollkommen unterschiedliche Sachen zu diesen Gruppen und weiß nicht mehr, wem ich noch glauben soll.
Was denn? Ein paar Beispiele wären nett. Dann kann man dazu Stellung beziehen. Glaub' im Zweifelsfall Microsoft (in diesem Spezialfall).
Zudem finde ich kaum Informationen zu praktischen Beispielen, wo man welche Gruppen wie und warum verwendet. (Allerdings kann es auch nur sein, dass ich da noch nicht lang genug gesucht habe.)
Bereits die eingebauten Gruppen enthalten wunderbare praktische Beispiele:
Nimm die lokale Gruppe der Administratoren einer Workstation. In einer Domänenstruktur (einer kleineren Firma) ist es der Normalfall, dass sich die globale (domänenweite) Gruppe der Domänenadministratoren in dieser Gruppe befindet. D.h., wenn sich ein Domänen-Admin an dieser Workstation anmeldet, verfügt er über lokale Administrationsrechte.Für den Support kann es interessant werden, wenn dies mal nicht der Fall ist :-)
Wenn also irgendjemand so nett wäre und mir die eine oder andere gute Seite empfehlen könnte? Eine, die möglichst zuverlässige Informationen enthält und nicht so ein Möchtegernfachwissen (davon habe ich selber genug, danke auch).
Die Seiten aus den entsprechenden MicrosoftPress-Büchern. Ich habe recht gute Erfahrungen mit Büchern aus der Serie "Original Microsoft Training" gemacht. Für Windows Server 2003 wären das mit Bezug auf "Gruppen"
http://www.microsoft.com/mspress/books/5431.asp
http://www.edv-buchversand.de/mspress/product.asp?cnt=product&id=ms-931&lng=0Zur Beschaffung zugegebenermaßen zu spät (auch recht teuer).
Ich bin zugegebenermaßen auch recht anspruchsvoll was gute Texte angeht, die auch noch schwierige Themen behandeln. Vielleicht hat ja einer einfach eine Idee?
Die Essenz aus dem Buch zu Windows 2000 Server:
Sicherheitsgruppen enthalten die gesamte Funktionalität von Verteilergruppen.
Verteilergruppen dienen als Listen für nicht sicherheitsrelevante Aufgaben (z.B. unterstützt Exchange 2003 Verteilergruppen als E-Mail-Verteiler).Verwende lokale und universelle Gruppen um Berechtigungen für Ressourcen zuzuweisen. Weise diesen Gruppen (v.a.) globale Gruppen aber keine Einzelbenutzer zu.
Gehe mit universellen Gruppen sehr sparsam um.
Gehe sparsam mit der Verschachtelung um, die seit dem einheitlichen Modus von Windows 2000 Server verfügbar ist: d.h. globale Gruppen können globale Gruppen enthalten.kurzer Überblick über die Gruppenbereiche (nur einheitlicher Modus Win 2000)
Gruppenbereich | Inhalt
---------------------------------------------------
Lokale Domäne | Benutzerkonten, | aus belieb.
| Computerkonten | Domänen
| globale Gruppen |
| universelle Gruppen |
---------------------------------------------------
Global | Benutzerkonten | aus der
| Computerkonten | gleichen
| globale Gruppen | Domäne
---------------------------------------------------
Universell | Benutzerkonten | aus einer
| Computerkonten | beliebigen
| globale Gruppen | Domäne
| universelle Gruppen |Falls Dir diese Informationen weiterhelfen, aber nicht ausreichend sind,
kann ich noch ein paar Seiten zitieren :-)Freundliche Grüsse,
Vinzenz
-
Hallo Vinzenz!
Beim Lesen verstehe ich Dein Posting, bin ich mit dem Lesen fertig, denke ich mir: Also wie war das jetzt? Schuld daran ist - um mit Karin zu sprechen - mein Halbwissen. Aus dieser Position gibt Dein Posting Lernstoff für Wochen (um die ich mich nicht drücken werde).
Aus dieser Position heraus danke ich Dir für diese Faustregel:
Vereinfacht gilt folgender Leitsatz: Vergib nie Rechte einzelnen Benutzern, sondern nur Gruppen. Wenn ein Benutzer bestimmte Rechte benötigt, so füge ihn der Gruppe hinzu, die über diese bestimmten Rechte verfügt. Benötigt dieser Benutzer diese Rechte nicht mehr, so entferne ihn aus dieser Gruppe.
Weiters hat mich der Begriff
... Mixed Mode 2000/2003 ...
hellhörig gemacht und ich möchte Dich fragen was er bedeutet.
Ich gebe zu, daß meine Frage nicht ganz self ist ... normalerweise mache ich das nicht. (Ich habe auch im msdn nachgeschaut, dort den Begriff aber nur im Zusammenhang mit dem Exchange Server gefunden.)
Beste Grüße
Viennamade-
Hallo ihr beiden,
ich hätte gestern mal länger aufbleiben sollen ... aber ich war do schon soooo müde ... naja. Danke für deine Antwort, Vinzenz, besonders für die Ausführlichkeit. Die hat mir schon einmal extrem weitergeholfen.
Weiters hat mich der Begriff
... Mixed Mode 2000/2003 ...
hellhörig gemacht und ich möchte Dich fragen was er bedeutet.Uhu, ich, ich, ich, darf ich, bitte, bitte, bitte? :D
Also um noch mal mein schon angedeutetes Halbwissen anzuwenden:
Windows 200x kann in zwei Modi arbeiten. Dem Mixed Mode und dem Native Mode. Der Mixed Mode wird in Netzwerken verwendet, in denen sowohl Win NT als auch Win 200x zur Anwendung kommen, der Kompatibilität wegen. Da es bei Win NT nur zwei Gruppen gab (lokal und global), gibt es im Mixed Mode die universelle Gruppe nicht. Desweiteren gab es noch ein paar weitere Änderungen, aber die fallen mir jetzt nicht mehr ein, lahme Ausrede: noch zu früh.
http://www.winfaq.de/faq_html/tip1147.htm
Hier waren aber ein paar Sachen ganz gut erklärt.
Da steht allerdings, dass es im Mixed Mode die universelle Gruppe schon gibt, allerdings nur als Verteilergruppe. Na wie denn nun? Ich komme immer noch nicht so ganz klar, um ehrlich zu sein.An Vinzenz: Du hast mir bereits sehr weitergeholfen, vielen Dank. Da hast Du Dir ja richtig Mühe gegeben. Es reicht bei weitem nicht aus und wirklich kapiert habe ich die Sache noch nicht, aber es muss wohl für den heutigen Vortrag erst mal reichen. ;)
Ich gebe zu, daß meine Frage nicht ganz self ist ... normalerweise mache ich das nicht. (Ich habe auch im msdn nachgeschaut, dort den Begriff aber nur im Zusammenhang mit dem Exchange Server gefunden.)
Ich gebe zu, dass meine Frage auch nicht ganz self war. :(
Beste Grüße
ViennamadeMörchengrüße zurück,
Karin -
Hallo Viennamade,
Weiters hat mich der Begriff
... Mixed Mode 2000/2003 ...
hellhörig gemacht und ich möchte Dich fragen was er bedeutet.Zunächst einmal herzlich wenig besonderes:
Den ersten Mixed-Mode führte Microsoft mit Windows 2000 Server ein (zumindest ist er mir für die Kombination WinNT 3.5x/4.0 unbekannt, in der technischen Referenz zu Windows NT 4.0 ist er nicht erwähnt). Er bezeichnet ein Netzwerk, in dem Domänen-Controller unter Windows NT 4 und Windows 2000 Server vorhanden sind. Dazu ist insbesondere zu beachten, dass es unter Windows NT 4 nur einen PDC (Primary Domain Controller) gleichzeitig geben kann. Alle anderen DCs laufen als BDC (Backup Domain Controller), die im Fall des Ausfalls des PDCs zum PDC hochgestuft werden können. Änderungen an den Sicherheitsdatenbanken werden nur auf dem PDC vorgenommen und auf die BDCs repliziert.Unter Windows 2000 Server im Native Mode gibt es nur noch DCs, die (fast) gleichberechtigt sind. Gewisse Aufgaben für das Active Directory sind jedoch immer noch auf bestimmte DCs beschränkt (Schema-Master, Domain-Naming Master, Infrastructure-Master, ...).
Bitte beachtet, dass als Clients Rechner unter Windows 9x, Windows NT, Windows NT Server, Windows 2000, XP, Windows 2000 Server, Windows Server 2003 in Frage kommen. Relevant für den Mixed Mode sind nur die OS der DCs. Für die Gruppen hat dies die von Karin geschilderte Auswirkung bezüglich universeller Gruppen.
Mixed-Mode Windows 2000/2003 und Windows Server 2003 Native Mode:
Der Mixed-Mode Windows 2000 Server - Windows Server 2003 bezeichnet nun analog ein Netzwerk, in dem DCs unter Windows 2000 Server und Windows Server 2003 zum Einsatz kommen. Werden alle Server unter Windows 2003 zum Mitgliedsserver heruntergestuft, so kann man zum Windows Server 2003 Native Mode übergehen. Dieser Schritt ist für die Domäne nicht umkehrbar.
Für die Gruppen ergeben sich wenig Unterschiede im neuen Native-Mode gegenüber dem Native-Mode von Windows 2000 bzw. dem Mixed-Mode von Windows Server 2003. Die Unterschiede betreffen allein die Performance beim Einsatz universeller Gruppen bei verteilten Standorten, die über langsame oder unzuverlässige Netzwerkverbindungen angeschlossen sind. Grund ist, dass der globale Katalog (GC) nicht mehr erforderlich ist, um Logins zu authentifizieren. Ausserdem benötigt die Replikation des GCs weniger Bandbreite, da Änderungen auf Attributebene statt auf Objektebene erfolgen können.
Fazit: Die Zuordnung zu universellen Gruppen kann im Windows Server 2003 Native Mode großzügiger gehandhabt werden als im Mixed Mode, da die Mitgliedschaft in universellen Gruppen nicht mehr so ressourcenintensiv ist wie vorher.
Ich gebe zu, daß meine Frage nicht ganz self ist ... normalerweise mache ich das nicht. (Ich habe auch im msdn nachgeschaut, dort den Begriff aber nur im Zusammenhang mit dem Exchange Server gefunden.)
Sollte ich in die Praxis umsetzen, deswegen machte ich mir im Frühjahr 2003 während eines Seminars zu Windows Server 2003 fleißig Notizen. Leider geriet eine Insolvenz dazwischen und das Gelernte schnell in Vergessenheit. Nun habe ich diese Gelegenheit genutzt, das Wissen auch für mich wieder aufzufrischen, self eben. Wenn andere davon profitieren können, um so besser.
Freundliche Grüsse,
Vinzenz
-
- Offene Mitgliedschaft
-
Nochmal hallo,
ich wollte nur freudigst mitteilen, dass ich heute meinen Vortrag gehalten habe und er trotz meinem Möchtegernfachwissen ziemlich gut verlaufen ist.
Da ich das unter anderem Vinzenz zu verdanken habe, hier ein kleines Dankeschön: Dankeschön. :DAbendliche Grüße,
Karin