Home Blog Wiki

Was ist AGDLP? Microsofts Best Practice Gruppenstruktur

Helmut Semmelmayer · 11.07.2019

Accounts, Global, Domain Local, Permission (AGDLP) bezeichnet die von Microsoft empfohlene Verschachtelung von Benutzerkonten und Gruppen bei der Berechtigungsvergabe. Alle Infos im tenfold Glossar.

Die Abkรผrzung AGDLP bezeichnet die empfohlene Vorgehensweise von Microsoft, um rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Zusammengefasst besagt die Vorgehensweise, dass Computer- und Benutzer-Accounts (A) Mitglieder von globalen Gruppen (G) sind, welche Geschรคftsrollen darstellen. Diese globalen Rollengruppen sind wiederum Mitglied von domรคnenlokalen Gruppen (DL), welche zur Zugriffssteuerung verwaltet werden und Berechtigungen (P) auf einer bestimmten Ressource haben.

Die Vorteile von AGDLP sind:

  • 1

    Benutzer- und Gruppenberechtigungen kรถnnen gleichermaรŸen einfach realisiert werden (รผber Mitgliedschaft in der domรคnenlokalen Gruppe)

  • 2

    Sofern bereits entsprechende Gruppen fรผr die jeweilige Ressource existieren, kรถnnen Berechtigungen einfach รผber die Active Directory-Konsole geรคndert werden (durch Hinzufรผgen der Mitgliedschaften).

  • 3

    Das Risiko, verwaiste Benutzereintrรคge in ACL zurรผckzulassen ist gemindert, da alle Eintrรคge in den ACL sich auf Gruppen (domรคnenlokale Gruppen, speziell zur Berechtigungsvergabe auf dem jeweiligen Objekt) beziehen.

Bei konsequenter Einhaltung wirkt sich die Implementierung eines Rollenmodells fรผr Berechtigungen positiv auf Transparenz und Active Directory Sicherheit aus. Der schwerwiegende Nachteil von AGDLP ist, dass die benรถtigten Strukturen in der Active Directory-Konsole manuell erstellt werden mรผssen; es gibt keine Standardwerkzeuge fรผr die Verwaltung. Das System ist daher sehr arbeits- und damit kostenintensiv und leider auch tendenziell fehleranfรคllig. Weitere Informationen finden Sie auch in unserem Whitepaper zum Berechtigungsmanagement in Microsoft.

Whitepaper

Access Governance: Best Pratices fรผr Microsoft-Umgebungen

Ein umfassender Leitfaden zur Umsetzung bewรคhrter Best Practices fรผr die Zugriffsverwaltung in Microsoft-Umgebungen.

Verfasst von: Helmut Semmelmayer

Als VP Revenue Operations verantwortet Helmut Semmelmayer den Partnervertrieb und das Produktmarketing von tenfold. Er blickt auf mehr als 15 Jahre Erfahrung im Bereich Identity & Access Management zurรผck und teilt in diesem Blog sein Expertenwissen zu Best Practices und technischen Grundlagen der Berechtigungsverwaltung.