4.4 Dynamische Gruppen verwalten

Eine dynamische Gruppe ist eine Gruppe, deren Mitgliedschaft basierend auf einem Satz Kriterien variiert. In DRA können Sie dynamische Gruppen erstellen, ohne über eine Exchange-Umgebung zu verfügen. Die Mitgliedschaftsfilter zum Verwalten von dynamischen Gruppen in Active Directory sind eine Besonderheit von DRA.

Die Grafik unten beschreibt die typische Verwendung einer dynamischen Active Directory-Gruppe. Die Grafik zeigt drei dynamische Gruppen. Jede Gruppe verfügt über einen Satz an Kriterien, die festlegen, wer zur Gruppe hinzugefügt werden kann. Jede Gruppe steuert den Zugriff auf einen bestimmten Satz Dateien, Ordner und Anwendungen.

TIPP:Sie können eine statische Mitgliederliste erstellen, die dauerhafte Mitglieder einer dynamischen Gruppe enthält, oder eine Liste ausgeschlossener Mitglieder, deren Mitgliedschaft in der dynamischen Gruppe dann verweigert wird.

Benutzer2 arbeitet seit Kurzem in der IT-Abteilung. Wenn die dynamische Gruppe der IT-Abteilung aktualisiert wird, wird Benutzer2 zur Gruppe hinzugefügt. Wenn die dynamische Gruppe der Vertriebsabteilung aktualisiert wird, wird Benutzer2 aus der Mitgliederliste entfernt.

TIPP:Um die Mitgliederliste einer dynamischen Gruppe zu aktualisieren, klicken Sie mit der rechten Maustaste auf die Liste und wählen Sie Mitglieder aktualisieren aus.

Benutzer3 ist von der IT-Abteilung zur Personalabteilung gewechselt. Er wird aus der dynamischen Gruppe der IT-Abteilung entfernt und zur dynamischen Gruppe der Personalabteilung hinzugefügt.

Dynamische Gruppe erstellen

Sie können eine dynamische Gruppe in der verwalteten Domäne oder im verwalteten Teilbaum erstellen. Sie können auch die Eigenschaften einer neuen dynamischen Gruppe bearbeiten, zum Beispiel die Mitglieder.

HINWEIS:

  • Möglicherweise wird in Ihrem Unternehmen eine Namenskonvention durch eine Richtlinie erzwungen, die festlegt, welchen Namen Sie der neuen dynamischen Gruppe zuweisen dürfen.

  • Standardmäßig platziert DRA die neue dynamische Gruppe in die Organisationseinheit „Benutzer“ der verwalteten Domäne.

Filter erstellen

Die dynamische Gruppe verwendet Filter, um bei jedem Aktualisieren der Gruppe Benutzer zu ihrer Mitgliedschaftsliste hinzuzufügen bzw. aus der Liste zu entfernen.

Statische Mitgliederliste verwalten

Benutzer, die in der statischen Mitgliederliste einer dynamischen Gruppe enthalten sind, sind dauerhafte Mitglieder der Gruppen, bis sie manuell entfernt werden.

Wenn Sie Mitglieder aus einer dynamischen Gruppe entfernen, löscht DRA die Objekte nicht. Wenn Sie Mitglieder zu einer dynamischen Gruppe hinzufügen, benötigen Sie die Befugnis zum Ändern der Objekte, die Sie hinzufügen möchten.

Liste ausgeschlossener Mitglieder verwalten

Mitglieder, die in der Liste der ausgeschlossenen Mitglieder der dynamischen Gruppe enthalten sind, können der Gruppe erst beitreten, nachdem sie manuell aus der Liste entfernt wurden.

Mitgliederliste aktualisieren

Über die Aktion Mitglieder aktualisieren können Sie die Mitglieder einer dynamischen Gruppe aktualisieren.

Dynamische Gruppe klonen

Sie können sowohl lokale als auch globale dynamische Gruppen in verwalteten Domänen klonen. Beim Klonen dynamischer Gruppen werden neue dynamische Gruppen vom gleichen Typ und mit den gleichen Attributen wie das zugrunde liegende Original erstellt.

Durch Klonen einer dynamischen Gruppe können Sie schnell dynamische Gruppen erstellen, indem Sie als Grundlage eine andere dynamische Gruppe mit ähnlichen Eigenschaften verwenden. Wenn Sie eine dynamische Gruppe klonen, füllt DRA den Assistenten zum Klonen dynamischer Gruppen mit Werten aus der ausgewählten dynamischen Gruppe aus. Sie können auch die Eigenschaften der neuen dynamischen Gruppe bearbeiten.

Dynamische Gruppe in einen anderen Container verschieben

Sie können eine dynamische Gruppe in einen anderen Container, beispielsweise in eine Organisationseinheit, der verwalteten Domäne oder des verwalteten Teilbaums verschieben.

Dynamische Gruppe löschen

Sie können sowohl lokale als auch globale dynamische Gruppen in der verwalteten Domäne oder im verwalteten Teilbaum löschen. Wenn der Papierkorb für die betreffende Domäne deaktiviert ist, wird die dynamische Gruppe beim Löschen dauerhaft aus Active Directory gelöscht. Wenn der Papierkorb für die betreffende Domäne aktiviert ist, wird die dynamische Gruppe beim Löschen in den Papierkorb verschoben und die Eigenschaften der dynamischen Gruppe werden deaktiviert.

Weitere Informationen zum Papierkorb erhalten Sie unter Verwalten des Papierkorbs.

ACHTUNG:Wenn Sie eine neue dynamische Gruppe erstellen, weist Microsoft Windows der dynamischen Gruppe eine Sicherheits-ID (SID) zu. Die SID wird nicht aus dem Namen der dynamischen Gruppe erstellt. Microsoft Windows verwendet SIDs, um die Berechtigungen in Zugriffssteuerungslisten für jede Ressource aufzuzeichnen. Wenn Sie eine dynamische Gruppe löschen, können Sie ihre Zugriffsrechte nicht durch Erstellen einer dynamischen Gruppe mit dem gleichen Namen wiederherstellen.

Eigenschaften dynamischer Gruppen ändern

Sie können die Eigenschaften lokaler und globaler dynamischer Gruppen ändern. Ihre Befugnisse legen fest, welche Eigenschaften Sie für eine Gruppe in der verwalteten Domäne oder im verwalteten Teilbaum bearbeiten können.

Dynamische Gruppen zu anderen dynamischen Gruppen hinzufügen

Sie können dynamische Gruppen schachteln, indem Sie eine dynamische Gruppe zu einer anderen verwalteten dynamischen Gruppe hinzufügen. Wenn eine dynamische Gruppe in einer anderen dynamischen Gruppe geschachtelt ist, kann die untergeordnete dynamische Gruppe Berechtigungen von der übergeordneten dynamischen Gruppe erben.

HINWEIS:Wenn durch das Hinzufügen einer dynamischen Gruppe zu einer anderen dynamischen Gruppe Ihre Befugnisse auf die ursprüngliche dynamische Gruppe erweitert werden, lässt DRA das Hinzufügen der dynamischen Gruppe nicht zu.

Sicherheitsberechtigungen für die Gruppenmitgliedschaft konfigurieren

Sie können Active Directory-Sicherheitsberechtigungen für Mitgliedschaften in dynamischen Gruppen festlegen. Diese Berechtigungen legen fest, wer die Mitgliedschaften in der dynamischen Gruppe mit Microsoft Outlook anzeigen (lesen) und wer sie bearbeiten (schreiben) kann. Mit diesen Einstellungen können Sie Verteilerlisten und dynamische Sicherheitsgruppen in Ihrer Umgebung effizienter absichern. Geerbte Sicherheitsberechtigungen können nicht geändert werden.

HINWEIS:Beim Verwalten der Sicherheit der Mitgliedschaft in dynamischen Gruppen können deaktivierte Berechtigungen auf geerbte Berechtigungen hinweisen.

Eigentümerschaft einer dynamischen Gruppe konfigurieren

Die Berechtigung der Eigentümerschaft einer dynamischen Gruppe kann einem Benutzerkonto, einer Gruppe oder einem Kontakt gewährt werden. Durch das Gewähren der Eigentümerschaft an einer dynamischen Gruppe wird das festgelegte Benutzerkonto, die festgelegte Gruppe bzw. der festgelegte Kontakt berechtigt, die Mitgliedschaft der dynamischen Gruppe zu ändern.

Mitgliedschaften in dynamischer Gruppe in Verteilerlisten anzeigen

Sie können die Mitgliedschaft in einer dynamischen Gruppe in Verteilerlisten für Gruppen der verwalteten Domäne oder des verwalteten Teilbaums anzeigen.

Mitgliedschaften der dynamischen Gruppe in Verteilerlisten ausblenden

Sie können die Mitgliedschaft in einer dynamischen Gruppe in Verteilerlisten für Gruppen der verwalteten Domäne oder des verwalteten Teilbaums ausblenden.

HINWEIS:Die Option Gruppenmitgliedschaft ausblenden ist für Microsoft Exchange 2007-Verteilerlisten deaktiviert.