Gruppentyp und Bereich

Admin-Aufgaben › Verwalten eines Active Directory-Benutzerspeichers › Gruppentyp und Bereich

Gruppentyp und Bereich

In Active Directory gibt es zwei Arten von Gruppen:

Sicherheit: Aufgeführt in Zugriffssteuerungslisten (Access Control Lists, ACLs), mit deren Hilfe Berechtigungen für Ressourcen und Objekte definiert werden.
Verteilung: Dient der Gruppierung von Objekten, etwa Benutzern und Gruppen. Verteilungsgruppen können in Active Directory nicht zur Erteilung von Berechtigungen verwendet werden.

Jede Art von Gruppe weist einen Bereich auf, mit dem Folgendes bestimmt wird:

Mitgliedsspeicherort: Der Ort, an dem sich potenzielle Mitglieder befinden können.
Berechtigungen: Wo die Gruppe für Zugriffsberechtigungen verwendet werden kann (wenn es sich bei der Gruppe um eine Sicherheitsgruppe handelt).
Gruppenmitgliedschaft in anderen Gruppen: Der Speicherort von Gruppen, denen die Gruppe zugehörig sein kann.

Jede Art von Gruppe kann einen der folgenden Bereiche aufweisen:

Bereich	Mitgliedsspeicherort	Berechtigungen	Gruppenmitgliedschaft in anderen Gruppen
Universal	Gruppenmitglieder können universelle Gruppen, globale Gruppen sowie Benutzer aus einer beliebigen Domäne in der Struktur sein.	Können zur Gewährung von Zugriff in sämtlichen Domänen einer Struktur verwendet werden.	Können Mitglieder in domänenlokalen und universellen Gruppen in beliebigen Domänen der Struktur sein.
Global	Gruppenmitglieder können globale Gruppen sowie Benutzer aus derselben Domäne wie die Gruppe sein.	Können zur Gewährung von Zugriff in sämtlichen Domänen einer Struktur verwendet werden.	Können Mitglieder in globalen, domänenlokalen und universellen Gruppen in beliebigen Domänen der Struktur sein.
Domänenlokal	Gruppenmitglieder können universelle Gruppen, globale Gruppen sowie Benutzer aus einer beliebigen Domäne in der Struktur sein. Mitglieder können zudem domänelokale Gruppen aus derselben Domäne sein.	Können nur zur Gewährung von Zugriff auf die Domäne verwendet werden, in der sich die Gruppe befindet.	Können nur Mitglieder anderer domänenlokaler Gruppen in der Domäne sein.

Gruppentyp und Bereich sind keine erforderlichen Attribute, wenn Sie jedoch keinen Gruppentyp und Bereich angeben, erstellt Active Directory eine Sicherheitsgruppe mit globalem Bereich.

Wenn Sie Gruppen eines anderen Typs erstellen möchten, können Sie einen benutzerdefinierten Logical-Attribute-Handler erstellen. Ziehen Sie das Kapitel zu logischen Attributen im Programmierhandbuch für Java zurate.

Nachdem Sie diese Active Directory-Funktionen konfiguriert haben, fahren Sie mit dem nächsten Schritt fort: Erstellen von Admin-Aufgaben.