Was ist AGDLP? Microsofts Best Practice Gruppenstruktur

Accounts, Global, Domain Local, Permission (AGDLP) bezeichnet die von Microsoft empfohlene Verschachtelung von Benutzerkonten und Gruppen bei der Berechtigungsvergabe. Alle Infos im tenfold Glossar.

Die Abkürzung AGDLP bezeichnet die empfohlene Vorgehensweise von Microsoft, um rollenbasierte Zugriffssteuerung (RBAC) innerhalb einer Windows Domain zu realisieren. Zusammengefasst besagt die Vorgehensweise, dass Computer- und Benutzer-Accounts (A) Mitglieder von globalen Gruppen (G) sind, welche Geschäftsrollen darstellen. Diese globalen Rollengruppen sind wiederum Mitglied von domänenlokalen Gruppen (DL), welche zur Zugriffssteuerung verwaltet werden und Berechtigungen (P) auf einer bestimmten Ressource haben.

Die Vorteile von AGDLP sind:

  • 1

    Benutzer- und Gruppenberechtigungen können gleichermaßen einfach realisiert werden (über Mitgliedschaft in der domänenlokalen Gruppe)

  • 2

    Sofern bereits entsprechende Gruppen für die jeweilige Ressource existieren, können Berechtigungen einfach über die Active Directory-Konsole geändert werden (durch Hinzufügen der Mitgliedschaften).

  • 3

    Das Risiko, verwaiste Benutzereinträge in ACL zurückzulassen ist gemindert, da alle Einträge in den ACL sich auf Gruppen (domänenlokale Gruppen, speziell zur Berechtigungsvergabe auf dem jeweiligen Objekt) beziehen.

Bei konsequenter Einhaltung wirkt sich die Implementierung eines Rollenmodells für Berechtigungen positiv auf Transparenz und Active Directory Sicherheit aus. Der schwerwiegende Nachteil von AGDLP ist, dass die benötigten Strukturen in der Active Directory-Konsole manuell erstellt werden müssen; es gibt keine Standardwerkzeuge für die Verwaltung. Das System ist daher sehr arbeits- und damit kostenintensiv und leider auch tendenziell fehleranfällig. Weitere Informationen finden Sie auch in unserem Whitepaper zum Berechtigungsmanagement in Microsoft.

Whitepaper

Best Practices im Access Management in Microsoft Umgebungen

Dieses Whitepaper enthält eine detaillierte Anleitung zur korrekten Einstellung von Berechtigungsstrukturen mit technischen Detailinformationen.

Verfasst von: Helmut Semmelmayer

Helmut Semmelmayer ist seit 2012 als VP Revenue Operations beim Software-Hersteller tenfold tätig. Er ist damit für den Partnervertrieb und das Produktmarketing verantwortlich und schreibt in diesem Blog regelmäßig themenbezogene Beiträge aus dem Bereich Identity & Access Management.