14.8. Gruppenobjekte

Um in einer Active Directory-Gesamtstruktur die Zugriffe auf Ressourcen sowie auch das Anmeldeverhalten zu steuern, werden zusätzlich zu den Benutzerkontenobjekten in der Regel auch Gruppenobjekte eingesetzt. Diese dienen in erster Linie dazu, die Rechte- und Berechtigungsvergabe innerhalb eines Computersystems oder gar innerhalb ganzer Active Directory-Gesamtstrukturen zu vereinfachen. Benutzer, die beispielsweise gemeinsamen Zugriff auf bestimmte Ressourcen benötigen, fasst man zu einer Sicherheitsgruppe zusammen, und vergibt die benötigte Zugriffsberechtigung letztlich der Gruppe statt jedem Benutzer einzeln. Diese Vorgehensweise vereinfacht die Verwaltung der Zugriffsberechtigung auf Ressourcen besonders bei mittelgroßen bis großen Netzwerkumgebungen mit vielen zu verwaltenden Datei- und Druckressourcen ungemein. Gruppen werden in Active Directory-Umgebungen jedoch nicht nur für die Rechte- oder Berechti-gungsvergabe verwendet.

14.8.1. Gruppentypen

In einer Active Directory-Gesamtstruktur unterscheidet man zwischen Sicherheits- und Verteilergruppen. Sicherheitsgruppen werden, wie es der Name bereits ahnen lässt, oft für die Berechtigungs- oder Rechtevergabe verwendet. Reine Verteilergruppen dagegen können beispielsweise in einer Microsoft Exchange-Umgebung dazu verwendet werden, um E-Mail-Nachrichten, die an die jeweilige Gruppe versandt wurden, an alle Gruppenmitglieder in Form von Kontakt- oder auch E-Mail-aktivierten Benutzerobjekten weiterzureichen, sprich: zu „verteilen". Eine Rechtevergabe an eine Verteilergruppe ist technisch nicht vorgesehen. Eine Verteilergruppe kann im Bedarfsfall jedoch zu einer Sicherheitsgruppe konvertiert werden, insoweit die Domänenfunktionsebene der betreffenden Domäne mindestens Windows 2000 einheitlich oder höher beträgt.