Shadow Groups (OUs) mit DynamicGroup verwalten
Shadow Groups sind eng verbunden mit Organizational Units (OUs) in Active Directory. Doch was genau können diese “Schattengruppen” und warum braucht man sie zur Verwaltung von Organisationseinheiten im AD?
Wir zeigen Ihnen, wie Sie mit unserem Tool DynamicGroup for AD dynamische OU Gruppen (dynamische Shadow Groups) erstellen und Ihre Organisationseinheiten berechtigen.
Index
Was sind Shadow Groups?
Als Shadow Groups versteht man Gruppen in Active Directory, welche die Mitglieder einer Organizational Unit (OU) abbilden, um Sicherheitseinstellungen anhand der OU-Struktur vorzunehmen. Entscheidend ist, dass diese Gruppen immer den gleichen Inhalt abbilden, also aktuell sind. Deshalb kommen dafür nur sich selbst pflegende AD Gruppen in Frage.
Warum braucht man Shadow Groups in AD?
Über OUs selbst können im Active Directory keine Berechtigungen und Sicherheitsrichtlinien gesetzt werden. Da es jedoch viele Anwendungsfälle gibt, bei denen Sicherheitseinstellungen anhand von OUs sinnvoll sind, wurde das Konzept der Shadow Groups erfunden.
Solche Anwendungsfälle können unter anderem sein:
- Berechtigungen auf Ressourcen wie File-Shares
- Netzfreigaben
- Fein granulare Passwortrichtlinien
Wie legt man Shadow Groups mit DynamicGroup an?
Mit DynamicGroup kann man ganz einfach Shadow Groups anlegen und hat dazu den Vorteil, dass die Gruppen automatisch aktualisiert werden. Werden also Mitglieder in eine OU aufgenommen oder aus ihr entfernt, wird die Shadow Group automatisch angepasst.
Um eine dynamische OU Gruppe bzw. Shadow Group über DynamicGroup anzulegen, erstellen Sie als erstes eine dynamische Gruppe über die DynamicGroup-Konsole. Wechseln Sie nun zum Reiter „Query Settings“ und aktivieren sie „Use Filter for OUs“.
Als nächsten wechseln Sie in den Reiter „OU Filter“ und nehmen dort folgende Einstellungen vor:
In dem blau-markierten Bereich entscheiden Sie, ob Unter-Strukturen einbezogen werden sollen oder nur Objekte, die direkt in der gefilterten OU liegen. In unserem Beispiel werden auch Objekte aus Unter-Strukturen in die dynamische Gruppe aufgenommen.
Im rot-markierten Bereich bestimmt man die Search Root, also die OU von aus welcher gesucht wird. Diese OU muss der zu gesuchten OU übergeordnet sein. Es muss aber auch sichergestellt sein, dass in dem Suchbereich keine weiteren OUs mit selbem Namen existieren. In unserem Beispiel ist die Search Root die Standort-OU „US“, da sich unser Filter auf die Abteilungs-OUs beziehen soll und diese nur einmal pro Standort vorkommen.
Im grün-markierten Bereich befindet sich der eigentliche Filter. In unserem Beispiel wollen wir, dass nur User einer Abteilungs-OU in die Shadow Group aufgenommen werden. Der Filter ist dabei ganz einfach: Wir filtern darauf, dass das Attribut „ou“ gleich dem Wert „Accounting“ ist. Damit werden in diesem OU-Filter alle OUs unterhalb der Search Root ausgewählt, die diesem Filter entsprechen.
Das Ergebnis des OU-Filters können Sie sich in der Preview anschauen. Hier wird nur die OU „demofa.net/Corp/US/Accounting“ gefunden, es ist also alles korrekt.
Zum Schluss wechseln Sie in den Reiter „Member Query“. Hier können Sie wählen welche Objekt-Typen in die Shadow Group aufgenommen werden sollen. In unserem Beispiel wollen wir nur Benutzer-Objekte.
Zusammenfassung
Shadow Groups sind ein nützliches Konzept bei der Verwaltung von Berechtigungen im Active Directory. Durch den Einsatz von DynamicGroup wird die Erstellung von Shadow Groups nicht nur erleichtert, sie werden zudem zu dynamischen Shadow Groups welche automatisch aktualisiert werden. DynamicGroup ist im Enterprise-Umfeld die schnellste und performanteste Lösung für Schattengruppen, die auch mehrere Admins verwenden können.
Über die FirstAttribute AG
Die FirstAttribute ist ein unabhängiges Cloud Service- und Software-Unternehmen mit Schwerpunkt Identity & Access Management (IAM) für AD und M365/Azure AD. Sie erfahren mehr über unser Team unter Unternehmen.
DynamicGroup ist seit vielen Jahren ein beliebtes Tool für AD Administratoren, um Gruppenmitgliedschaften im AD koordiniert und sicher zu verwalten. Die Anwendung ist weltweit bei Unternehmen unterschiedlichster Branchen im Einsatz. Kontinuierliche Updates sorgen dafür, dass die Anwendung den wachsenden Anforderungen in der IT gerecht bleibt und genau das tut, was sie verspricht.