Deel dit bericht op facebook!

Het aanmaken van een Security Group

Active Directory gebruikt groepen om user accounts, computer account en andere groepen aan elkaar te koppelen.

We kennen twee type groepen binnen Active Directory:

  • Distribution groups: wordt gebruikt voor het maken van een e-mail distributielijst
  • Security groups: wordt gebruikt voor het toekennen van permissies op gedeelde resources.

 

Distribution groups

Distribution groups kunnen alleen toegepast worden indien er een e-mail server (b.v. Exchange) aanwezig is binnen het domein om zo e-mail te versturen naar meerdere users tegelijk.

Security groups

Een Security Group kan toegepast worden op het beveiligingen van resources binnen het netwerk. Een Security Group kan toegepast worden op bijvoorbeeld:

Een useraccount wat aangeeft wat een user wel en niet mag binnen een groep op het netwerk. Als Active Directory is geïnstalleerd worden er al een aantal groepen standaard ingesteld. Elke user die aangemaakt wordt is bijvoorbeeld lid van de groep Domain Users. Ook is er een groep voor administrators die meteen de juiste rechten krijgen binnen het domein.

Elke Security Group is gekoppeld aan een Group scope. De scope van de groep geeft aan op welk niveau de Security Group van toepassing is. Er zijn drie verschillende Group Scopes namelijk;

  • Universal Security Groups: Accounts van het domein in hetzelfde forest
  • Global Security Groups: Accounts van het domein
  • Domain Local Security Groups: Accounts van elk domein of elk vertrouwd domein.

 

Onderstaand tabel geeft meer informatie over de Group Scopesron: https://technet.microsoft.com/nl-nl/library/dn579255(v=ws.11).aspx

Scope Possible Members Scope Conversion Can Grant Permissions Possible Member of
Universal Accounts from any domain in the same forest

Global groups from any domain in the same forest

Other Universal groups from any domain in the same forest

Can be converted to Domain Local scope

Can be converted to Global scope if the group does not contain any other Universal groups

On any domain in the same forest or trusting forests Other Universal groups in the same forest

Domain Local groups in the same forest or trusting forests

Local groups on computers in the same forest or trusting forests

Global Accounts from the same domain

Other Global groups from the same domain

Can be converted to Universal scope if the group is not a member of any other global group On any domain in the same forest, or trusting domains or forests Universal groups from any domain in the same forest

Other Global groups from the same domain

Domain Local groups from any domain in the same forest, or from any trusting domain

Domain Local Accounts from any domain or any trusted domain

Global groups from any domain or any trusted domain

Universal groups from any domain in the same forest

Other Domain Local groups from the same domain

Accounts, Global groups, and Universal groups from other forests and from external domains

Can be converted to Universal scope if the group does not contain any other Domain Local groups Within the same domain Other Domain Local groups from the same domain

Local groups on computers in the same domain, excluding built-in groups that have well-known SIDs

Voorbeeld:

Stap 1:

In onderstaand voorbeeld gaan we een Global Security Group aanmaken voor de afdeling Administratie. Ga onder de OU Administratie naar New -> Group.

01addgroup

Stap 2:

Geef de naam van de groep op en selecteer de betreffende Group scope en type. In het voorbeeld gaan we uit van een Global Security Group. Klik op OK om af te ronden.

02addgroup

Een Security Group aanmaken met Windows PowerShell

In onderstaande handleiding laten we jullie zien hoe je een nieuwe Security Group aanmaakt. In dit voorbeeld maken we de Security Group ‘studenten’ aan. Vooraf hebben we de OU studenten aangemaakt binnen het domein adatum.com.

2016-10-041

In PowerShell type je het volgende: New-ADGroup studenten -Path “ou=studenten,dc=adatum,dc=com” -GroupScope Global -GroupCategory Security

— New-ADGroup MelakaBranchUsers = Dit commando maakt de nieuwe Group studenten aan.

— -Path “ou=MelakaBranch,dc=cpx,dc=local” = Dit commando geeft de locatie aan waar de Security Group aangemaakt wordt.

— -GroupScope Global -GroupCategory Security = Hier wordt de Global Group gekozen en het type Group (Security).