Was ist AGDLP? Microsofts Best Practice Gruppenstruktur
Accounts, Global, Domain Local, Permission (AGDLP) bezeichnet die von Microsoft empfohlene Verschachtelung von Benutzerkonten und Gruppen bei der Berechtigungsvergabe. Alle Infos im tenfold Glossar.
Die Abkรผrzung AGDLP bezeichnet die empfohlene Vorgehensweise von Microsoft, um rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Zusammengefasst besagt die Vorgehensweise, dass Computer- und Benutzer-Accounts (A) Mitglieder von globalen Gruppen (G) sind, welche Geschรคftsrollen darstellen. Diese globalen Rollengruppen sind wiederum Mitglied von domรคnenlokalen Gruppen (DL), welche zur Zugriffssteuerung verwaltet werden und Berechtigungen (P) auf einer bestimmten Ressource haben.
Die Vorteile von AGDLP sind:
Benutzer- und Gruppenberechtigungen kรถnnen gleichermaรen einfach realisiert werden (รผber Mitgliedschaft in der domรคnenlokalen Gruppe)
Sofern bereits entsprechende Gruppen fรผr die jeweilige Ressource existieren, kรถnnen Berechtigungen einfach รผber die Active Directory-Konsole geรคndert werden (durch Hinzufรผgen der Mitgliedschaften).
Das Risiko, verwaiste Benutzereintrรคge in ACL zurรผckzulassen ist gemindert, da alle Eintrรคge in den ACL sich auf Gruppen (domรคnenlokale Gruppen, speziell zur Berechtigungsvergabe auf dem jeweiligen Objekt) beziehen.
Bei konsequenter Einhaltung wirkt sich die Implementierung eines Rollenmodells fรผr Berechtigungen positiv auf Transparenz und Active Directory Sicherheit aus. Der schwerwiegende Nachteil von AGDLP ist, dass die benรถtigten Strukturen in der Active Directory-Konsole manuell erstellt werden mรผssen; es gibt keine Standardwerkzeuge fรผr die Verwaltung. Das System ist daher sehr arbeits- und damit kostenintensiv und leider auch tendenziell fehleranfรคllig. Weitere Informationen finden Sie auch in unserem Whitepaper zum Berechtigungsmanagement in Microsoft.
Best Practices im Access Management in Microsoft Umgebungen
Dieses Whitepaper enthรคlt eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.