Verwendung von Gruppentypen und -bereichen in Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 231273 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D42174
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
231273 Group Type and Scope Usage in Windows 2000
Alles erweitern | Alles schließen

Zusammenfassung

Microsoft Windows 2000 erweitert das Microsoft Windows NT 4.0-Konzept der Benutzergruppen durch Hinzufügen von universellen und Verteilergruppen. In Windows NT 4.0 gibt es nur globale und lokale Gruppen, die beide als Sicherheitsgruppen angesehen werden.

Weitere Informationen

In Windows 2000 gibt es zwei Gruppentypen: Sicherheit und Verteiler. Zusätzlich gibt es drei Bereiche: Universal, Global und Lokale Domäne.

Gruppentypen

Sicherheit:
Sicherheitsgruppen dienen der Steuerung des Zugriffs auf Ressourcen. Sie können ebenfalls als E-Mail-Verteilerlisten verwendet werden.

Verteiler:
Verteilergruppen können nur als E-Mail-Verteilerlisten oder einfache administrative Gruppierungen verwendet werden. Diese Gruppen können nicht für die Zugriffssteuerung verwendet werden, weil sie keine Gruppen "mit aktivierter Sicherheit" sind. In Domänen mit einheitlichem Modus kann ein Gruppentyp jederzeit konvertiert werden. In Domänen mit gemischtem Modus wird der Gruppentyp bei der Erstellung festgelegt und kann nicht geändert werden.

Bereichstypen

Universal:
Universelle Gruppen können überall in der gleichen Windows 2000-Gesamtstruktur verwendet werden. Sie sind nur in einer Organisation mit einheitlichem Modus verfügbar. Universelle Gruppen können für einige Administratoren einen einfacheren Ansatz darstellen, da hinsichtlich ihrer Verwendung keine inhärenten Einschränkungen bestehen. Benutzer können universellen Gruppen direkt zugewiesen werden. Universelle Gruppen können verschachtelt werden und können direkt mittels Zugriffssteuerungslisten verwendet werden, um Zugangsberechtigungen in jeder Domäne der Organisation zu kennzeichnen.

Universelle Gruppen werden im globalen Katalog (GC) gespeichert. Dies bedeutet, dass alle an diesen Gruppen vorgenommenen Änderungen die Replikation auf alle GC-Server in der gesamten Organisation nach sich ziehen. Änderungen an universellen Gruppen dürfen daher nur nach sorgfältigem Abwägen des Nutzens von universellen Gruppen gegen den zusätzlichen Aufwand der Replikation des globalen Katalogs vorgenommen werden. Wenn ein Unternehmen nur über ein einziges LAN mit guten Verbindungen verfügt, sollten keine Leistungseinbußen auftreten, während es bei weit verzweigten Standorten zu erheblichen Beeinträchtigungen kommen könnte. Typischerweise sollten Unternehmen, die WANs verwenden, universelle Gruppen nur für relativ statische Gruppen verwenden, bei denen sich die Mitgliedschaft selten ändert.

Global:
Globale Gruppen stellen den primären Gruppenbereich dar, in den Benutzer in Domänen mit gemischtem Modus gesetzt werden. Globale Gruppen können nur in die Sicherheitsbeschreibungen von Ressourcenobjekten gesetzt werden, die sich in der gleichen Domäne befinden. Dies bedeutet, dass keine Zugriffsbeschränkung für ein Objekt eingerichtet werden kann, die einzig auf der Mitgliedschaft eines Benutzers in einer globalen Gruppe von einer anderen Domäne basiert.

Die Mitgliedschaft eines Benutzers in einer globalen Gruppe wird überprüft, wenn dieser Benutzer sich in einer Domäne anmeldet. Da die Mitgliedschaft in einer globalen Gruppe domänenbasiert ist, erfordern Änderungen der Mitgliedschaft in globalen Gruppen keine Replikation des globalen Katalogs in der gesamten Organisation.

In einer Domäne mit einheitlichem Modus können globale Gruppen ineinander verschachtelt werden. Dies kann von Nutzen sein, wenn Administratoren über verschachtelte Organisationseinheiten verfügen und Verwaltungsfunktionalität für Organisationseinheiten auf geregelte Weise innerhalb einer Organisationseinheiten-Struktur abwärtsdelegieren wollen. In dieser Situation kann die Struktur einer globalen Gruppe als Parallelkonstruktion für die Abwärtszuweisung solcher Rechte verwendet werden.

Lokale Domäne:
Lokale Domänengruppen können für die direkte Zuweisung von Zugriffsrichtlinien auf spezielle Ressourcen, die nicht direkt im Active Directory gespeichert werden (wie Dateiserverfreigaben, Druckerwarteschlangen etc.), verwendet werden.

Lokale Domänengruppen sollten nicht für die Zuweisung von Berechtigungen für Active Directory-Objekte verwendet werden, da lokale Domänengruppen nicht in anderen Domänen überprüft werden können und Teile der meisten Active Directory-Objekte in Form des globalen Katalogs auf andere Domänen repliziert werden. Für Active Directory-Objekte eingerichtete Zugriffsbeschränkungen, die auf der Mitgliedschaft in lokalen Domänengruppen basieren, haben keine Auswirkung auf GC-Abfragen, die in Gruppen stattfinden, die nicht zu der Domäne gehören, aus der die lokale Domänengruppe stammt.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 231273 - Geändert am: Freitag, 9. Januar 2004 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbenv KB231273
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com