Sicherheitsmanagement im Active Directory

Standorte und Dienste

Berechtigungen lassen sich übrigens nicht nur für Domänen und organisatorische Einheiten über den Assistenten setzen, sondern auch für Standorte, Dienste und die Kommunikation zwischen Standorten (Inter-Site Transports). Im Verwaltungsprogramm Active Directory-Standorte und -Dienste findet sich im Kontextmenü ebenfalls jeweils der Befehl Objektverwaltung zuweisen.

Allerdings beschränkt sich die Konfiguration hier in der Praxis darauf, dass man einerseits einer ausgewählten Operatorengruppe die Standort- und Transportverwaltung zuweist und andererseits einer Gruppe die Dienstverwaltung. Mehr Anpassungen sind hier normalerweise nicht erforderlich. Allenfalls in sehr großen Infrastrukturen könnte eine regionale Trennung noch Sinn machen.

Mit dem Assistenten für die Zuweisung der Objektverwaltung lassen sich aber in erfreulich einfacher Weise Berechtigungen im Active Directory setzen und damit Benutzergruppen Zugriffsrechte zuordnen. In der englischen Version wird auch von Delegation gesprochen – und genau darum geht es: Die gezielte Delegation ausgewählter Verwaltungsaufgaben an spezielle Gruppen im Active Directory. Denn diese gezielte und beschränkte Delegation ist die Basis für die Sicherheit des Active Directory. Wenn viele alles oder zumindest sehr viel dürfen, ist diese nicht zu gewährleisten – bei einer gezielten, eingeschränkten Delegation dagegen schon. (ala)