Gruppenverwaltung

Inhalt

6. Gruppenverwaltung#

Diese Seite beschreibt die Gruppenverwaltung in Nubus. Sie richtet sich an funktionale Administratoren, die Gruppen und ihre Mitglieder verwalten. Sie finden die folgenden Abschnitte auf dieser Seite:

Benutzer zu Gruppen zuweisen
Empfehlung für die Definition von Gruppennamen
Verwalten von Gruppen über das Verwaltungsmodul
Verschachtelte Gruppen mit Gruppen in Gruppen

Nubus speichert Gruppen im LDAP-Verzeichnisdienst. Normalerweise enthalten Gruppen Benutzerkonten. Sie können jedoch auch aus anderen Objekttypen bestehen, zum Beispiel Computerobjekten. Gruppen sind die Grundlage zur Unterscheidung von Berechtigungen in Nubus.

6.1. Benutzer zu Gruppen zuweisen#

Sie können Benutzerkonten auf folgende Weise zu Gruppen zuweisen:

Eine Auswahl von Gruppen zu einem Benutzerkonto im Benutzer-Verwaltungsmodul, siehe Gruppen im Reiter Gruppen - Benutzerverwaltung.
Eine Auswahl von Benutzerkonten zu einer Gruppe im Gruppenverwaltungsmodul, siehe Benutzer im Reiter Allgemein - Gruppenverwaltung.

6.2. Empfehlung für die Definition von Gruppennamen#

Ein wichtiges und erforderliches Attribut für Gruppen ist der Gruppenname. Dieser Abschnitt beschreibt eine Empfehlung für die Definition von Gruppennamen. Betrachten Sie die Empfehlung als Richtlinie und nicht als Regel. Bedenken Sie mögliche Nebenwirkungen, wenn Sie Gruppennamen außerhalb der Empfehlung definieren.

Um Konflikte mit den verschiedenen Tools zu vermeiden, die Gruppen in Nubus verwalten, befolgen Sie die folgenden Empfehlungen für die Definition von Gruppennamen:

Verwenden Sie nur die folgenden Zeichen aus dem ASCII-Zeichensatz für Gruppennamen:
- Groß- und Kleinbuchstaben (A-Za-z)
- Ziffern (0-9)
- Bindestrich (-)
- Leerzeichen
Der Gruppenname beginnt mit einem Buchstaben aus dem ASCII-Zeichensatz.
Das Leerzeichen ist nicht als erstes oder letztes Zeichen erlaubt.
Der Bindestrich ist nicht als letztes Zeichen erlaubt.
In Nubus hat der Gruppenname mindestens eine Länge von 4 Zeichen und höchstens 20 Zeichen.

Die Empfehlung führt zu dem regulären Ausdruck in Quellcode 6.1.

Quellcode 6.1 Regulärer Ausdruck für die Empfehlung zur Gruppennamen-Definition#

^[A-Za-z][A-Za-z0-9 -]{2,18}[A-Za-z0-9]$

6.3. Verwalten von Gruppen über das Verwaltungsmodul#

In Nubus verwalten Sie Gruppen über das Gruppen Verwaltungsmodul. Sie finden das Modul in der Kategorie Domäne der Management UI. Abb. 6.1 zeigt das Modul für das Erstellen einer Gruppe. Die folgenden Abschnitte beschreiben die Reiter im Gruppen Verwaltungsmodul:

Reiter Allgemein - Gruppenverwaltung
Reiter Erweiterte Einstellungen - Gruppenverwaltung
Reiter Optionen - Gruppenverwaltung

Erstellen einer Gruppe über das Gruppenverwaltungsmodul — Abb. 6.1 Erstellen einer Gruppe über das *Gruppe*-Verwaltungsmodul#

6.3.1. Reiter Allgemein - Gruppenverwaltung#

Name: Definiert den Namen der Gruppe. Für empfohlene Zeichen für den Gruppennamen, siehe Empfehlung für die Definition von Gruppennamen.

Beschreibung: Für eine Beschreibung der Gruppe.

Benutzer: Benutzer als Mitglieder zur Gruppe hinzufügen.

Gruppen: Andere Gruppen als Mitglieder der aktuellen Gruppe hinzufügen. Dadurch wird die aktuelle Gruppe zu einer verschachtelten Gruppe. Siehe Verschachtelte Gruppen mit Gruppen in Gruppen.

6.3.2. Reiter Erweiterte Einstellungen - Gruppenverwaltung#

E-Mail: Dieser Bereich definiert eine E-Mail-Gruppe. Für Details, siehe Verwaltung von Mailgruppen.

Enthaltene Rechner: Computerobjekte als Mitglieder zur Gruppe hinzufügen.

Mitglied von: Andere Gruppen hinzufügen. Die aktuelle Gruppe wird Mitglied der hier aufgeführten anderen Gruppen.

Gruppen-ID

Wenn Sie der Gruppe eine bestimmte ID zuweisen möchten, können Sie diese hier beim Erstellen der Gruppe festlegen.

Andernfalls weist Nubus der Gruppe beim Erstellen automatisch die nächste verfügbare Gruppen-ID zu. Sie können die Gruppen-ID später nicht mehr ändern. Das Gruppen Verwaltungsmodul zeigt die ID dann als schreibgeschütztes Feld an.

Die Gruppen-ID darf aus ganzen Zahlen zwischen 1000 und 59999 sowie zwischen 65536 und 100000 bestehen.

Windows ‣ Relative ID

Die relative ID (RID) ist der lokale Teil der Sicherheits-ID (SID), die Windows- und Samba-Domänen verwenden.

Wenn Sie der Gruppe eine bestimmte RID zuweisen möchten, können Sie diese hier beim Erstellen der Gruppe festlegen. Andernfalls weist Nubus der Gruppe beim Erstellen automatisch die nächste verfügbare RID zu. Sie können die RID später nicht mehr ändern. Das Gruppe-Verwaltungsmodul zeigt die RID dann als schreibgeschütztes Feld an.

Wenn Sie Samba/AD verwenden, erstellt Samba die RID und Sie können sie nicht festlegen.

Standardgruppen und spezielle Objekte reservieren RIDs unter 1000.

Windows ‣ Gruppentyp

Nubus wertet den Gruppentyp aus, wenn sich ein Benutzer bei einer Samba/AD-basierten Domäne anmeldet. Die folgenden Gruppentypen existieren:

Globale Gruppen: sind in der gesamten Domäne bekannt. Dies ist der Standard-Gruppentyp.
Lokale Gruppen: sind nur auf Windows-Servern relevant.
Bekannte Gruppe: Dieser Gruppentyp umfasst Gruppen, die von Samba/Windows-Servern vorkonfiguriert wurden und im Allgemeinen spezielle Privilegien haben, wie zum Beispiel Power Users.

Windows ‣ AD-Gruppentyp: Nur das Anmeldeverfahren in einer Samba/AD-basierten Domäne wertet diesen Gruppentyp bei der Benutzeranmeldung aus. Für weitere Informationen, siehe Synchronisation von Active Directory-Gruppen bei Verwendung von Samba/AD.

Windows ‣ Samba-Privilegien: Verwenden Sie dieses Feld, um einer Gruppe Windows-Systemrechte zuzuweisen, beispielsweise das Recht, einen Microsoft Windows-Client in die Domäne einzubinden. Das Feld ist äquivalent zu Samba-Berechtigung in Reiter Konto - Benutzerverwaltung.

6.3.3. Reiter Optionen - Gruppenverwaltung#

Dieser Reiter ist nur beim Hinzufügen von Gruppen verfügbar, nicht beim Bearbeiten von Gruppen. Sie können hier bestimmte LDAP-Objektklassen für die Gruppe entfernen. Nach der Gruppenerstellung können Sie die Felder nicht mehr bearbeiten.

Samba-Gruppe: Diese Checkbox zeigt an, ob die Gruppe die LDAP-Objektklasse sambaGroupMapping enthält.
POSIX-Gruppe: Diese Checkbox zeigt an, ob die Gruppe die LDAP-Objektklasse posixGroup enthält.

6.4. Verschachtelte Gruppen mit Gruppen in Gruppen#

Nubus unterstützt verschachtelte Gruppen, auch bekannt als Gruppen in Gruppen. Dies vereinfacht die Verwaltung der Gruppen. Wenn Sie beispielsweise zwei Standorte in einer Domäne verwalten, können Sie zwei Gruppen IT-Personal Standort A und IT-Personal Standort B erstellen. Sie können die Benutzerkonten des IT-Personals des jeweiligen Standorts einer der beiden Gruppen zuweisen.

Um eine standortübergreifende Gruppe zu erstellen, reicht es aus, die Gruppen IT-Personal Standort A und IT-Personal Standort B als Mitglieder zu definieren. Nubus erkennt automatisch zyklische Abhängigkeiten von verschachtelten Gruppen und lehnt sie ab.

Nubus löst verschachtelte Gruppenmitgliedschaften beim Erstellen des Gruppen-Caches auf. Verschachtelte Gruppen sind daher für Anwendungen transparent. Für weitere Informationen, siehe Lokaler Gruppencache.

Nubus Handbuch 1.x