Bei der Vergabe von Rechten und Berechtigungen im Active Directory ist es entscheidend für die Übersicht, Granularität bei der Rechtevergabe und die Skalierbarkeit, in welche Sicherheitsgruppen man die Benutzer einteilt. Idealerweise wird die Gruppenstruktur anhand des Firmen-Organigramms und der IT-Ressourcen gebildet.

Die Regel ist, niemals Benutzern direkt Zugriff auf Ressourcen zu gewähren oder zu verweigern, sondern sie jeweils als Mitglieder in den entsprechenden Gruppen zu führen, welche diese Rechte abbilden. Die Rechtezuweisungen selbst funktionieren über Gruppenverschachtelungen, also Mitgliedschaften von Gruppen in Gruppen.

Um diese auch in einer Gesamtstruktur über Domänengrenzen hinweg zu realisieren, kennt Active Directory 3 Bereiche für Gruppen: globale, domänenlokale und universelle. Die Rede ist hier generell von Sicherheitsgruppen, Verteilergruppen spielen in dem Zusammenhang keine Rolle.

Globale Gruppen

Globale Gruppen enthalten Active-Directory-Benutzerkonten oder andere globale Gruppen, die sich in der gleichen Domäne befinden. Andere Active-Directory-Ressourcen können sie nicht enthalten. Man verwendet globale Gruppen, um Rollen von Mitarbeitern in der Organisation zu beschreiben, etwa Manager, Buchhaltung oder Entwickler. Sie sind – deswegen heißen sie global – allen Ressourcen innerhalb der Gesamtstruktur bekannt.

Jedoch können Sicherheitsdeskriptoren von Ressourcen nur globale Gruppen der gleichen Domäne enthalten, deshalb kann man den Zugriff auf Ressourcen für Mitglieder globaler Gruppen anderer Domänen der Gesamtstruktur nicht konfigurieren. Deshalb verwendet man sie generell nicht, um Rechte und Berechtigungen zuzuweisen – dazu macht man vielmehr eine globale Gruppe zum Mitglied einer domänenlokalen.

Domänenlokale Gruppen

Domänenlokale Gruppen existieren nur innerhalb der jeweiligen Domäne und beschreiben nicht die Rolle ihrer Mitglieder, sondern die Zugriffsrechte und Berechtigungen, die sie bieten. Sie haben deshalb als Best Practice auch keine Benutzer als Mitglieder, sondern nur andere Gruppen, etwa globale.

Will man etwa der Gruppe Entwickler gestatten, die Rechte der Freigabe \\Server\development\test zu ändern, erstellt man eine domänenlokale Gruppe, die genau dieses Recht beinhaltet, erteilt es an der Freigabe, und macht die globale Gruppe Entwickler zu deren Mitglied.

Obwohl man auch einzelne Benutzerkonten in domänenlokale Gruppen aufnehmen könnte, sollte man dies als Best Practice der Übersicht und der Skalierbarkeit wegen generell nicht tun. Domänenlokale Gruppen sind in anderen Domänen der Gesamtstruktur nicht bekannt.

Universale Gruppen

Universale Gruppen können überall in der Gesamtstruktur verwendet werden, sind überall bekannt, können globale und andere universale Gruppen enthalten und können deshalb sowohl zur organisatorischen Beschreibung als auch zur Definition von Zugriffsrechten und Berechtigungen verwendet werden.

Universale Gruppen werden im Globalen Katalog (GC) jeder beteiligten Domäne gespeichert. Alle Änderungen an einer universalen Gruppe müssen innerhalb der Gesamtstruktur zwischen den GCs der Domänen repliziert werden. Existieren nur WAN- oder andere langsame Verbindungen zwischen den Domänen, kann das ein Grund sein, keine oder nur wenige universale Gruppen zu verwenden, um den Replikationsverkehr gering zu halten.

Innerhalb eines einzigen LANs spricht wenig dagegen, generell universale Gruppen zu verwenden. Für die eigene Übersicht wird man aber als Administrator auch dann dafür sorgen, diese in rollen- und rechtebasierte Gruppen zu unterteilen, um dann die „Rollen“-Gruppen als Mitglieder der „Rechte-Gruppen“ zu verwalten.

AGULP

Als griffige Abkürzung für die Best Practice beim logischen und rechtetechnischen Layout der Gruppen- und Benutzerstruktur hat sich AGULP etabliert: Konten (Accounts) werden Globalen Gruppen zugewiesen, diese (bei Bedarf/Praktikabilität) Universalen Gruppen. Die globalen Gruppen sind wiederum in domänenLokalen Gruppen enthalten, die domänenlokalen Gruppen werden in den Rechten (Permissions) verwendet. Nach folgendem Schema können sich Active-Directory-Gruppen gegenseitig enthalten: