Die Abkürzung AGDLP bezeichnet die empfohlene Vorgehensweise von Microsoft, um eine rollenbasierte Zugriffssteuerung (LINK: RBAC) innerhalb einer Windows Domain zu realisieren. Zusammengefasst besagt die Vorgehensweise, dass Computer- und Benutzer-Accounts (A) Mitglieder von globalen Gruppen (G) sind, welche Geschäftsrollen darstellen. Diese globalen Rollengruppen sind Mitglied von domänenlokalen Gruppen, welche zur Zugriffssteuerung verwaltet werden (DL) und Berechtigungen (P) auf einer bestimmten Ressource haben.

Die Vorteile von AGDLP sind:

  • Benutzer- und Gruppenberechtigungen können gleichermaßen einfach realisiert werden (über Mitgliedschaft in der domänenlokalen Gruppe)
  • Sofern bereits entsprechende Gruppen für die jeweilige Ressource existieren, können Berechtigungen einfach über die Active Directory-Konsole geändert werden (durch Hinzufügen der Mitgliedschaften).
  • Das Risiko, verwaiste Benutzereinträge  in ACL zurückzulassen ist gemindert, da alle Einträge in den ACL sich auf Gruppen (domänenlokale Gruppen, speziell zur Berechtigungsvergabe auf dem jeweiligen Objekt) beziehen.

Der schwerwiegende Nachteil von AGDLP ist, dass die benötigten Strukturen in der Active Directory-Konsole manuell erstellt werden müssen; es gibt keine Standardwerkzeuge für die Verwaltung. Das System ist daher sehr arbeits- und damit kostenintensiv und leider auch tendenziell fehleranfällig.
Für Details siehe auch unser Whitepaper zu „Best Practices für Berechtigungsmanagement in Microsoft-Umgebungen“ (LINK).

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download