Mit DynamicGroup sind spezielle OU-Filter für selbstpflegende AD Gruppen möglich.
So werden nur ganz bestimmte OUs nach Benutzern durchsucht und in eine dynamische Gruppe aufgenommen. Eine Gruppe mit definiertem OU Filter geht über einfache OU Gruppen und OU-bezogene Standortgruppen hinaus.
Unser Ziel mit dem OU-Filter ist es Berechtigungen über bestimmte Sub-OUs zu verwalten.
Das Organisieren von Gruppen im AD geht auch einfach: Mit DynamicGroup und die OU-Filter können Sie schnell dynamische Gruppen erstellen, die sich auf bestimmte OUs beziehen können.
Der Vorteil von dynamischen Gruppen besteht darin, dass sie automatisch aktualisiert werden. Egal, ob Sie in eine dynamische OU Gruppe oder direkt in einer unter OU Gruppe vornehmen, Änderungen bleiben immer auf dem neuesten Stand.
Wir stellen nun zwei Beispiele vor, in denen die Funktionsweise des OU-Filters verdeutlicht
werden soll. Dazu arbeiten wir mit folgender OU-Struktur (Bild rechts):
Der grüne Pfeil zeigt auf die Unter-OUs, für die wir eine dynamische Gruppe erstellen wollen.
Erstellen Sie über die DynamicGroup-Konsole eine neue, dynamische Gruppe und wählen Sie zudem unter “Query Settings” → “Use Filter for OUs” aus, um den benötigten Reiter anzeigen zu lassen.
In den folgenden Beispielen geht es darum Nutzer aus bestimmten OUs einer dynamischen Gruppe hinzufügen.
Grundlagen hierzu finden Sie in den Artikeln OU Gruppen und Standortgruppen im AD.
Beispiel 1
Nutzer aus ganz bestimmten OUs (IT, Accounting) in eine dynamische Gruppe aufnehmen.
Beispiel 2
Nutzer aus gleichartigen OUs (Users) innerhalb eines Standortes in eine dynamische Gruppe aufnehmen.
Mit der „Active Directory-Benutzer und -Computer -Konsole“ (ADUC) ist es nicht möglich, OUs zu berechtigen oder OU Gruppen zu erstellen.
Es ist nur möglich manuell durch alle Unter-OUs zu gehen und OU für OU alle Benutzer in einer Gruppe einzufügen. Die erzeugte Gruppe wird allerdings nicht automatisch aktualisiert.
Zum Glück gibt es eine viel schnellere Methode.
In diesem Beispiel wird gezeigt, wie Nutzer aus bestimmten OUs (IT, Accounting) in eine dynamische Gruppe aufgenommen werden.
Unter dem Reiter “OU Filter” müssen Sie nun folgende Einstellungen vornehmen:
In dem blau-markierten Bereich entscheiden Sie, ob Unter-Strukturen einbezogen werden sollen oder nur Objekte, die direkt in der gefilterten OU liegen. In unserem Beispiel werden auch Objekte aus Unter-Strukturen in die dynamische Gruppe aufgenommen.
Im rot-markierten Bereich bestimmt man die Search Root, also die OU von der ausgesucht wird. In diesem Beispiel ist das die Standort-OU.
Im grün-markierten Bereich befindet sich der eigentliche Filter. In diesem einfachen Fall filtern wir nur darauf, dass das Attribut “ou” gleich dem Wert “IT” oder “Accounting” ist. Damit werden in diesem OU-Filter alle OUs unterhalb der Search Root ausgewählt, die diesem Filter entsprechen.
Das Ergebnis des OU-Filters können Sie sich in der Preview anschauen. Hier werden die OU “demofa.net/Corp/US/Accounting” und “demofa.net/Corp/US/IT” gefunden.
Je nachdem, ob Sie nur Benutzer in die dynamische Gruppe aufnehmen wollen oder auch andere Objekte, müssen Sie zusätzlich unter dem Reiter “Member Query” Einschränkungen vornehmen. In unserem Beispiel haben wir die Mitglieder der dynamischen Gruppe auf Benutzer-Objekte beschränkt. In diesem Reiter kann nun keine Search Root mehr ausgewählt werden, da die OUs (Search Roots) vom OU-Filter herangezogen werden.
Wir haben auf diesem Weg einmal die dynamische Gruppe erstellt, müssen wir nun keine Anpassungen mehr an Benutzern vornehmen, da die dynamische Gruppe diese Aufgabe nun für Sie übernimmt.
In diesem Beispiel wird gezeigt, wie Nutzer aus bestimmten OUs (Users) innerhalb eines Standortes in eine dynamische Gruppe aufgenommen werden.
Unter dem Reiter “OU Filter” müssen Sie nun folgende Einstellungen vornehmen:
Im grün-markierten Bereich befindet sich unser OU-Filter, welcher alle OUs mit dem Namen “Users” herausfiltert. Dazu wird im Query Builder „ou is equal Users“ gesetzt. Das Ergebnis der Preview zeigt, dass in der Search Root “US” vier OUs mit dem Namen “Users” gefunden wurden. Auch hier kann nun der Reiter Member Query nach seinen Anforderungen eingestellt werden.
Standorte oder Abteilungen werden oft über OU-Strukturen im Active Directory abgebildet. Das können Sie mit DynamicGroup zu Ihrem Vorteil nutzen. Erstellen Sie einfach dynamische Gruppen mit einer OU-Filterung.
Für die intelligente Massenanlage von gibt es dafür den Smart Creation Wizard. Attributbasierte Gruppen (z.B. für Standorte) erstellen Sie analog zu dynamischen Abteilungsgruppen.
© 2021 · FirstAttribute AG.