• Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch
FirstWare IDM-PortalFirstWare IDM-Portal
FirstWare IDM-PortalFirstWare IDM-Portal
User Driven
Identity Management
  • Identity Management
    • Benutzerverwaltung
    • Delegation
    • Self Service
    • Abwesenheitsassistent
    • Password Reset
    • Telefonbuch
  • Authorization
    • Berechtigungsverwaltung
    • Genehmigungs-Workflow
    • Rollenbasierter Zugriff
    • Single Sign-on
    • Automation
  • IAM Compliance
  • Systeme
    • Active Directory
    • M365
    • HR-System
    • PowerShell
  • Lösung
    • Warum IDM-Portal
    • Editionen & Preise
    • Weitere Services
  • Referenzen
    • Unsere Kunden
    • Unsere Projekte
    • Partnerschaft
    • Presse
  • Kontakt
    • Über uns
    • News
    • Kontakt
  • Deutsch

Active Directory Gruppenverwaltung vereinfachen

Jan 3, 2022 (Letztes Update) | Authorization Management |

 

Gruppenverwaltung in Active Directory ist grundsätzlich eine technische Sicht. Mit dem Wechsel in die Anwendersicht wird AD Gruppen-Management deutlich einfacher. Es ist sogar möglich diese anwenderfreundlich an Mitarbeiter zu delegieren.

Index

  • Technische AD Gruppenverwaltung
  • Anwendersicht auf AD Group 
  • Verwaltung von AD-Gruppen an Benutzer delegieren
    • Der passive Weg – Daten verwalten Gruppen
    • Der aktive Weg – Anwender holen sich ein Laufwerk
  • Zeitpunkt-gesteuerte Active Directory Gruppen
  • Gruppen mit Genehmigung
  • Automatisiertes Group Management

Technische AD Gruppenverwaltung

Aus technischer Sicht sind Gruppen einer von vier wesentlichen Objekttypen im Active Directory. Die anderen sind Benutzer, Computer und Drucker. AD Gruppen unterscheiden können alle diese Objekttypen beinhalten bzw. gruppieren oder zum Mitglied haben. Aus grundlegender technischer “Objektsicht” ist jede Active Directory Gruppe gleich.

Dennoch gibt es vier verschiedene Gruppentypen:
Lokal, Domänenlokal, Global, Universal.
Sie unterscheiden sich vor allem darin, was Zugriffe und Verschachtelungen angeht.

Funktional wird zwischen Sicherheitsgruppen und Verteilergruppen unterschieden. Sicherheitsgruppen. Vereinfacht gesagt AD Gruppen für Berechtigungen (Sicherheit) und E-Mail/Exchange (Verteiler). IT-Abteilungen, die dem Ansatz “Berechtigungen über Gruppen” folgen berechtigen Benutzer nicht direkt. Sie profitieren mittel- und langfristig von einer standardisieren Gruppenverwaltung mit dem AGDLP-Prinzip.

Anwendersicht auf AD Group 

Endanwender kennen Active Directory und seine Gruppen nicht. Ein AD-Admin kennt ja auch nicht jede Funktion einer bestimmten Buchhaltungssoftware. Für Mitarbeiter machen sich Gruppen bemerkbar, in dem sie entweder einen E-Mail-Verteiler nutzen (Verteilergruppen auf Exchange) oder sich etwas an Ihren Berechtigungen (Sicherheitsgruppen) und z.B. ein Abteilungslaufwerk sichtbar wird.

Anwender merken von Gruppen etwas, wenn Sie:

  • Internetzugriff bekommen
  • Abteilungslaufwerk sehen
  • Zugang zu Unternehmensbereichen erhalten
  • Zugriff auf eine Anwendung haben
  • Rolle einer Anwendung nutzen
    usw.

Mitarbeiter merken nicht, dass dabei Ihr Benutzerobjekt Mitglied einer Gruppe wurde und zuvor im Hintergrund Berechtigungen an diese Active Directory Gruppe geknüpft wurden.

Verwaltung von AD-Gruppen an Benutzer delegieren

Wenn Anwender AD Gruppenverwaltung nicht kennen, warum sollten Sie diese dennoch übernehmen? Die Antwort ist Zeit und Kosten, aber es lässt sich genauer sagen:

  • IT wird entlastet
  • Anwender sind schneller arbeitsfähig
  • Selbstständigkeit der Mitarbeiter

Mitarbeiter haben verschiedene Möglichkeiten Gruppenzuordnungen durchzuführen. Wichtig ist die Absicherung und Begrenzung der Auswahl. Mit dem IDM-Portal wird dies auf Basis der Rollenberechtigung umgesetzt. Benutzergruppen unterscheiden sich dabei – Manager haben mehr Entscheidungsmöglichkeit als ein Mitarbeiter im Self Service.

Verwaltung von AD-Gruppen an Benutzer delegieren mit IDM-Portal

Der passive Weg – Daten verwalten Gruppen

Anwender bearbeiten nur Daten, die sie verstehen. Das AGDLP-Prinzip hingegen ist ein notwendiges Konzept für das Identity and Access Management. Die Idee hinter anwenderorientiertem Identity Management ist es, die Daten mit Gruppen klug zu verzahnen. Gruppenverwaltung im AD kann im Hintergrund ablaufen

Der aktive Weg – Anwender holen sich ein Laufwerk

Natürlich kann ein Mitarbeiter auch aktiv in die AD Gruppenverwaltung eingreifen. Dies wird bedarfsgerecht ermöglicht. Das bedeutet, dass Ansichten und Auswahl auf das Wesentliche reduziert sind. Auf diese Weise werden auch die Fehlermöglichkeiten begrenzt. Abteilungsleiter, Helpdesk, Assistenten oder lokale Admins vergeben so direkt Berechtigungen über Projekte und Anwendungen für Ihren Bereich.

Zeitpunkt-gesteuerte Active Directory Gruppen

Ein Admin oder Abteilungsleiter möchte heute schon die Mitgliedschaft in einer AD Gruppe regeln. Allerdings soll es erst in zwei Monaten wirksam. Zeitpunkt-basierte Gruppenmitgliedschaften sind mit dem IDM-Portal genauso möglich, wie temporäre Gruppen. Diese temporären Berechtigungen werden häufig bei externen Mitarbeitern oder Praktikanten eingesetzt, um Sicherheitsrisiken zu vermeiden. Die Nachvollziehbarkeit ist zu jeden Zeitpunkt gegeben, da ein eigenes Log die Veränderungen und Anträge mitschreibt.

IT und Abteilungsorganisation können entspannt zukünftige Identity Management Aufgaben, vorab erledigen.

Gruppen mit Genehmigung

Ganz ähnlich verhält es sich mit dem Delegieren von Freigaben für Berechtigungsgruppen. Verantwortliche einer AD Sicherheitsgruppe erhalten eine Nachricht, wenn die eine neue Gruppenmitgliedschaft setzen müssen. Dieser Genehmigungs-Workflow kann je nach Konfiguration auch von Mitarbeitern selbst gestartet werden, z.B. wenn es um die Freigabe einer Proxy-Berechtigung für bestimmte Internetseiten oder YouTube geht. Der Vorgesetzte hat nun die Möglichkeit diese freizugeben oder mit einer Begründung abzulehnen. Natürlich können Zeitsteuerung und Genehmigungsabläufe für die Active Directory Gruppenverwaltung auch kombiniert werden.

Automatisiertes Group Management

Schnelles AD Group Management bedeutet immer auch Automatisierung. Dabei ist immer der Standpunkt und das Konzept für die Automatismen entscheidend. Kurze und direkte Automatisierung erfolgt häufig per PowerShell. Damit sind Echtzeit-Fälle gut abgedeckt. Verteilte Administration inklusive PowerShell unterstützt das IDM-Portal.

Automatisiertes Group Management - IDM-Portal

Sich selbst pflegende Gruppen, die in bestimmten Intervallen Mitgliedschaften aktualisieren, etabliert man eher mit dynamischen AD Gruppen. Die AD Gruppenverwaltung im engeren Sinn zu automatisieren bedeutet oft, dass Eingaben automatisch verarbeitet werden. Wie oben beschrieben können diese Eingaben Attributs-basiert, Ereignis-begründet, zeitgesteuert oder genehmigungspflichtig sein. Identity Management Automatisierung im AD ist damit ein Feld, was weit über reine Gruppenadministration hinausgeht.

Artikel erstellt am: 12.07.2020
Tags: Active Directory GruppenverwaltungAD GruppenverwaltungBenutzerverwaltung delegierenGenehmigungs-WorkflowGroup ManagementZeitpunkt-gesteuerte Gruppen
Teilen

Suche

Neueste Beiträge

  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
  • IT-Administrator bewertet FirstWare IDM-Portal
  • Gruppen in Azure AD richtig organisieren, da es keine OUs gibt
  • Mitarbeiterverzeichnis für große Kliniken
  • Nutzerattribute in Active Directory und Azure AD zentral pflegen

Kategorien

  • Allgemeines
  • Authorization Management
  • Compliance
  • Identity Management
  • Projekte
  • Systeme


FirstAttribute

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 40
  • https://www.firstattribute.com

Themen

  • AGBs und EULA
  • Datenschutzerklärung
  • Impressum
  • Kontakt

News

  • Unterschiede in den Nutzerattributen von Active Directory und Azure Active Directory
  • IT-Administrator bewertet FirstWare IDM-Portal
  • Gruppen in Azure AD richtig organisieren, da es keine OUs gibt
  • Mitarbeiterverzeichnis für große Kliniken
  • Nutzerattribute in Active Directory und Azure AD zentral pflegen
  • User-Onboarding im AD und HR-System automatisieren

© 2023 · FirstAttribute AG.

Prev Next