Het aanmaken van een Security Group
Active Directory gebruikt groepen om user accounts, computer account en andere groepen aan elkaar te koppelen.
We kennen twee type groepen binnen Active Directory:
- Distribution groups: wordt gebruikt voor het maken van een e-mail distributielijst
- Security groups: wordt gebruikt voor het toekennen van permissies op gedeelde resources.
Distribution groups
Distribution groups kunnen alleen toegepast worden indien er een e-mail server (b.v. Exchange) aanwezig is binnen het domein om zo e-mail te versturen naar meerdere users tegelijk.
Security groups
Een Security Group kan toegepast worden op het beveiligingen van resources binnen het netwerk. Een Security Group kan toegepast worden op bijvoorbeeld:
Een useraccount wat aangeeft wat een user wel en niet mag binnen een groep op het netwerk. Als Active Directory is geïnstalleerd worden er al een aantal groepen standaard ingesteld. Elke user die aangemaakt wordt is bijvoorbeeld lid van de groep Domain Users. Ook is er een groep voor administrators die meteen de juiste rechten krijgen binnen het domein.
Elke Security Group is gekoppeld aan een Group scope. De scope van de groep geeft aan op welk niveau de Security Group van toepassing is. Er zijn drie verschillende Group Scopes namelijk;
- Universal Security Groups: Accounts van het domein in hetzelfde forest
- Global Security Groups: Accounts van het domein
- Domain Local Security Groups: Accounts van elk domein of elk vertrouwd domein.
Onderstaand tabel geeft meer informatie over de Group Scopesron: https://technet.microsoft.com/nl-nl/library/dn579255(v=ws.11).aspx
Scope | Possible Members | Scope Conversion | Can Grant Permissions | Possible Member of |
Universal | Accounts from any domain in the same forest
Global groups from any domain in the same forest Other Universal groups from any domain in the same forest |
Can be converted to Domain Local scope
Can be converted to Global scope if the group does not contain any other Universal groups |
On any domain in the same forest or trusting forests | Other Universal groups in the same forest
Domain Local groups in the same forest or trusting forests Local groups on computers in the same forest or trusting forests |
Global | Accounts from the same domain
Other Global groups from the same domain |
Can be converted to Universal scope if the group is not a member of any other global group | On any domain in the same forest, or trusting domains or forests | Universal groups from any domain in the same forest
Other Global groups from the same domain Domain Local groups from any domain in the same forest, or from any trusting domain |
Domain Local | Accounts from any domain or any trusted domain
Global groups from any domain or any trusted domain Universal groups from any domain in the same forest Other Domain Local groups from the same domain Accounts, Global groups, and Universal groups from other forests and from external domains |
Can be converted to Universal scope if the group does not contain any other Domain Local groups | Within the same domain | Other Domain Local groups from the same domain
Local groups on computers in the same domain, excluding built-in groups that have well-known SIDs |
Voorbeeld:
Stap 1:
In onderstaand voorbeeld gaan we een Global Security Group aanmaken voor de afdeling Administratie. Ga onder de OU Administratie naar New -> Group.
Stap 2:
Geef de naam van de groep op en selecteer de betreffende Group scope en type. In het voorbeeld gaan we uit van een Global Security Group. Klik op OK om af te ronden.
Een Security Group aanmaken met Windows PowerShell
In onderstaande handleiding laten we jullie zien hoe je een nieuwe Security Group aanmaakt. In dit voorbeeld maken we de Security Group ‘studenten’ aan. Vooraf hebben we de OU studenten aangemaakt binnen het domein adatum.com.
In PowerShell type je het volgende: New-ADGroup studenten -Path “ou=studenten,dc=adatum,dc=com” -GroupScope Global -GroupCategory Security
— New-ADGroup MelakaBranchUsers = Dit commando maakt de nieuwe Group studenten aan.
— -Path “ou=MelakaBranch,dc=cpx,dc=local” = Dit commando geeft de locatie aan waar de Security Group aangemaakt wordt.
— -GroupScope Global -GroupCategory Security = Hier wordt de Global Group gekozen en het type Group (Security).