The estimated reading time 4 minutes
Vor einiger Zeit schrieb mich über meinen Blog die Firma FirstAttribute an und fragte ob ich Lust hätte ihr neues Produkt zu testen und eine kleine Rezession darüber zu schreiben. Ihr seht wie ich mich entschieden habe;-) Am Anfang war ich auch der Software gegenüber etwas skeptisch, wie es vermutlich vielen da draußen geht. In meinem Lab hat mich die Software aber überzeugt, sodass ich diesen Artikel gerne veröffentliche.
Zunächst eine kleine Funktionsbeschreibung von „DynamicGroup“. Wie es der Name schon vermuten lässt, handelt es sich um eine Software welche dynamisch Gruppenzugehörigkeiten erstellen kann (sie kann noch mehr ;-)). Die Gruppenzugehörigkeit wird z.B. anhand von OUs oder AD Attributen oder beidem festgelegt. Ein sehr wichtiger Vorteil: wenn Benutzer Attribute oder OU- Zugehörigkeiten verlieren, dann wird ihnen auch der Zugriff also die Gruppenzugehörigkeit entzogen!
Wenn also die Software durchdacht eingesetzt wird, bleiben AD Gruppen und Zugriffe im gesamten Netzwerk immer aktuell und müssen auch nicht bereinigt werden.
HINWEIS: ich gebe keinerlei Support zur Software, dies sind allgemeine Informationen und praktische Anwendungsbeispiele aus meinem Lab. Die Installation ist sehr gut in der FirstWare Documentation beschrieben(wird beim Download mitgeliefert).
Szenario 1:
Mein Unternehmen hat eine Ordnerstruktur auf dem Dateiserver und möchte die Berechtigungen nach AGDLP und automatisiert anhand von AD Organisationseinheiten vergeben.
Es sollen alle Benutzer in einer bestimmten OU und auch unterhalb eine Sicherheitsgruppe im AD zugewiesen bekommen. Sprich alle Benutzer in meiner Organisationseinheit und darunter bekommen Zugriff auf die erste Ebene meines Dateiservers (DATA), welche auch freigegeben ist.
Im AD befinden sich hierzu zwei Gruppen: domänenlokale und globale Sicherheitsgruppe, welche ineinander verschaltet sind (global in lokal).
Auf dem Management Server hab ich die FirstWare DynamicGroup Software installiert (ebenfalls als Dienst) und eingestellt, dass alle 5 Minuten ein Suchlauf + Hinzufügen der Benutzer zu dynamischen Gruppen erfolgen soll.
Die globale Gruppe gl_file_data_r wurde in DynamicGroup erzeugt und fügt alle 5 Minuten alle neue Benutzer innerhalb der OU „Demo“ hinzu.
Dies sieht dann innerhalb der Software folgendermaßen aus:
Sehr gut ist der „Preview“ Button, mit den Ergbnissen der Abfrage.
Auf Seiten des ActiveDirectory sieht die Gruppe wie eine „normale“ globale Gruppe aus, wird aber durch den Dienst von FirstWare nach einem Intervall befüllt.
Anbei noch ein Screenshot aus meiner Service-Konfiguration:
Szenario 2:
Benutzer innerhalb einer OU Struktur sollen anhand eines AD Attributes in bestimmte Sicherheitsgruppen Mitglied werden. Hierzu habe ich mehrere „Support“ Benutzer erstellt welche im AD Attribut “ Department“ immer folgenden Wert gesetzt haben „support“.
Get-ADUser -Filter {Name -like "*supp*"} -Properties * | fl Name,Department,CanonicalName
Im Screenshot ist zu sehen, dass ein Benutzer (support 03) diesen Wert nicht gesetzt hat, somit sollte dieser auch nicht in der Abfrage auftauchen. Außerdem lässt sich gut erkennen, dass sich die Benutzer in unterschiedlichen OUs befinden. Nun der Screenshot aus FirstWare:
In meinem AD lässt sich die Gruppe natürlich ebenso finden.
Wechselt also z.B. ein Benutzer in eine andere Abteilung muss im AD nur das „Department“ geändert werden und alten Sicherheitsgruppen werden beim Benutzer entfernt und neue hinzugefügt
Hinter dieser Dynamischen Gruppe steckt ebenfalls eine Dateiserverberechtigung, in meinem Fall nun der Zugriff auf den Support Ordner:
Sehr coole Sache! Allerdings ist es wie immer in der IT, setzt euch vorher hin und überlegt ein vernünftiges Konzept!
Die Software hat noch sehr viele Funktionen zu bieten, hier soll nur ein praktisches und einfaches Anwendungsbeispiel aufgezeigt werden.
Viel Spaß mit dem Tool, wenn euch der Betrag gefallen hat, drückt auf „helpful“ und ladet die Software herunter. Bitte gebt beim Download im Nachrichtenfenster meinen Blog als Referenz an.
Schaut auch auch den brandneuen „Delegation Mode“ von Dynamic Group an, siehe hierzu mein weiterer Artikel FirstWare DynamicGroup – Teil 2: Delegation Mode
Dieser Artikel entstand mit der freundlichen Unterstützung von:
Direkter Link zum Download der Software: https://www.dynamicgroup.net/de/download/
[…] Zurück zu FirstWare DynamicGroup – Teil 1: ein kleines Tutorial […]