Active Directory.pdf - Gattner

Verwalten von Gruppen 363
Hinweis Die Verwendungsweise von Gruppen richtet sich nach den in Ihrer Umgebung bereitgestellten
Servern. Wenn Ihre Domäne nur Server umfasst, auf denen Windows 2000 und Windows Server 2003 ausgeführt
wird, können Sie für die Zuweisung von Berechtigungen für alle Ressourcen auf diesen Servern
domänenlokale Gruppen verwenden. Sie können auf diesen Mitgliedsservern jedoch weiterhin lokale Gruppen
verwenden. Beachten Sie, dass Sie auf Servern, auf denen Windows NT ausgeführt wird, weiterhin
lokale Gruppen verwenden müssen. Lokale Gruppen können in jedem Fall globale Gruppen von jeder beliebigen
Domäne in der Gesamtstruktur umfassen. Wenn Sie lokale Gruppen auf einem Sever erstellen, auf
dem Windows 2000 oder Windows Server 2003 ausgeführt wird, können die Gruppen auch universelle
Gruppen von jeder beliebigen Domäne in der Gesamtstruktur oder von einer vertrauten Gesamtstruktur
umfassen.
Die Funktionalität von globalen Gruppen hat sich von Windows 2000 Active Directory zu Windows
Server 2008 Active Directory nicht verändert. Wenn für die Domänenfunktionsebene mindestens
Windows 2000 einheitlich festgelegt wurde, können Sie globale Gruppen von der gleichen
Domäne in andere globale Gruppen verschachteln. Das Verschachteln von Gruppen ist hilfreich, um
mehrere Gruppenmitgliedschaften zu umgehen. Ihr Unternehmen ist beispielsweise in mehrere
Geschäftseinheiten gegliedert, wobei jede eine Gruppe mit Vorgesetzten und leitenden Angestellten
umfasst. Sie können eine globale Gruppe Vorgesetzte für jede Geschäftseinheit erstellen und diese
globalen Gruppen anschließend in einer unternehmensweiten Gruppe Vorgesetzte verschachteln.
Hinweis Wenn für Ihre Domänenfunktionsebene weiterhin Windows 2000 einheitlich oder Windows 2000
gemischt festgelegt ist, sollten Sie die Gruppenmitgliedschaft auf maximal 5000 Benutzer beschränken, um
mögliche Replikationsprobleme zu vermeiden. Durch das Verschachteln von Gruppen treten diese Probleme
seltener auf. Gelöst werden sie durch ein aktualisiertes Verfahren für die Replikation verknüpfter
Werte, wenn die Domänenfunktionsebene auf Windows Server 2003 heraufgestuft wird.
Universelle Gruppen weisen in Active Directory die größte Flexibilität auf, jedoch sind damit auch
Nachteile verbunden. Universelle Gruppen können Mitglieder von jeder Domäne in der Gesamtstruktur
umfassen, und sie können zum Zuweisen von Berechtigungen für Ressourcen in jeder beliebigen
Domäne in der Gesamtstruktur verwendet werden. Um dies zu ermöglichen, wird die Mitgliedsliste
für alle universellen Gruppen im globalen Katalog (Global Catalog, GC) gespeichert. Die Mitgliedsliste
wird als einzelnes Attribut im GC gespeichert. Wenn Ihre Domäne mit der Funktionsebene Windows
2000 einheitlich ausgeführt wird, bedeutet dies, dass bei jedem Hinzufügen eines Mitglieds zur
universellen Gruppe die Replikation der vollständigen Mitgliedsliste auf alle weiteren globalen Katalogserver
erforderlich ist. Dies kann zu einem erheblichen Replikationsaufwand führen, wenn die
universelle Gruppe Tausende Mitglieder umfasst. Wenn für die Domänenfunktionsebene mindestens
Windows Server 2003 festgelegt wurde, können Sie dieses Problem durch die Replikation verknüpfter
Werte lösen.
Durch die Replikation verknüpfter Werte wird der Replikationsdatenverkehr für verknüpfte Mehrwertattribute
reduziert. Gruppenmitgliedslisten sind ein Beispiel für verknüpfte Mehrwertattribute.
Bei jedem Gruppenmitglied handelt es sich um einen Wert im Mitgliedschaftsattribut für die Gruppe.
Bei der Replikation verknüpfter Werte werden nur die Änderungen an einem verknüpften Mehrwertattribut
repliziert. Im Fall von Änderungen an der Gruppenmitgliedschaft bedeutet dies, dass nur
die Aktualisierungen der Gruppenmitgliedschaft und nicht die gesamte Gruppenmitgliedsliste repliziert
werden.