moenk's blog & podcast

Globale Gruppen dienen der Gruppierung von Benutzern (korrekt: Benutzerobjekten). Abkürzung nach Microsoft ist "G_" vor dem eigentlichen Gruppennamen.


Domänenlokale Gruppen dienen der Berechtigungsvergabe. Vor dem Gruppennamen sollte ein "DL_" stehen um dies sofort erkennbar zu machen.

Universelle Gruppen werden über Domänen hinweg verwendet. Mit einem "U_" vor dem eigentlichen Gruppennamen kann man dies deutlich machen.

Man sollte Benutzerkonten nicht direkt zu einer domänenlokalen Gruppe hinzufügen. Stattdessen sollte man einzelne Benutzer mit gemeinsamen Merkmalen zu einer globalen Gruppe und diese globale Gruppe in eine domänenlokale Gruppe hinzufügen. So sind domänenlokale Gruppen einfacher zu verwalten.

Das ganze macht man, um nicht Benutzern Rechte geben zu müssen, es sollte immer ein Recht an eine Gruppe gegeben und der Benutzer dann der Gruppe zugeordnet werden!

Es gibt einen Unterschied zwischen Berechtigungen und Rechten! Berechtigungen beziehen sich auf Aktionen bei Objekten, z.B. Zugriff auf NTFS-Freigaben. Rechte sind Aktionen im System wie Ändern der Systemzeit oder Herunterfahren des Systems.