info@it-tools.nl

Security Groups

The best guide for Windows

Het aanmaken van een Security Group

Active Directory gebruikt groepen om user accounts, computer account en andere groepen aan elkaar te koppelen.

We kennen twee type groepen binnen Active Directory:

Distribution groups: wordt gebruikt voor het maken van een e-mail distributielijst

Security groups: wordt gebruikt voor het toekennen van permissies op gedeelde resources.

Distribution groups

Distribution groups kunnen alleen toegepast worden indien er een e-mail server (b.v. Exchange) aanwezig is binnen het domein om zo e-mail te versturen naar meerdere users tegelijk.

Security groups

Een Security Group kan toegepast worden op het beveiligingen van resources binnen het netwerk. Een Security Group kan toegepast worden op bijvoorbeeld:

Een user account wat aangeeft wat een user wel en niet mag binnen een groep op het netwerk. Als Active Directory is geïnstalleerd worden er al een aantal groepen standaard ingesteld. Elke user die aangemaakt wordt is bijvoorbeeld lid van de groep Domain Users. Ook is er een groep voor administrators die meteen de juiste rechten krijgen binnen het domein.

Elke Security Group is gekoppeld aan een Group scope. De scope van de groep geeft aan op welk niveau de Security Group van toepassing is. Er zijn drie verschillende Group Scopes namelijk;

Universal Security Groups: Accounts van het domein in hetzelfde forest

Global Security Groups: Accounts van het domein

Domain Local Security Groups: Accounts van elk domein of elk vertrouwd domein.

Onderstaand tabel geeft meer informatie over de Group Scopesron:

ScopePossible MembersScope ConversionCan Grant PermissionsPossible Member of
UniversalAccounts from any domain in the same forest Global groups from any domain in the same forest Other Universal groups from any domain in the same forestCan be converted to Domain Local scope Can be converted to Global scope if the group does not contain any other Universal groupsOn any domain in the same forest or trusting forestsOther Universal groups in the same forest Domain Local groups in the same forest or trusting forests Local groups on computers in the same forest or trusting forests
GlobalAccounts from the same domain Other Global groups from the same domainCan be converted to Universal scope if the group is not a member of any other global groupOn any domain in the same forest, or trusting domains or forestsUniversal groups from any domain in the same forest Other Global groups from the same domain Domain Local groups from any domain in the same forest, or from any trusting domain
Domain LocalAccounts from any domain or any trusted domain Global groups from any domain or any trusted domain Universal groups from any domain in the same forest Other Domain Local groups from the same domain Accounts, Global groups, and Universal groups from other forests and from external domainsCan be converted to Universal scope if the group does not contain any other Domain Local groupsWithin the same domainOther Domain Local groups from the same domain Local groups on computers in the same domain, excluding built-in groups that have well-known SIDs

Voorbeeld:

In onderstaand voorbeeld gaan we een Global Security Group aanmaken voor de afdeling Administratie. Ga onder de OU Administratie naar New -> Group.

Stap 2:

Geef de naam van de groep op en selecteer de betreffende Group scope en type. In het voorbeeld gaan we uit van een Global Security Group. Klik op OK om af te ronden.

Een Security Group aanmaken met Windows PowerShell
In onderstaande handleiding laten we jullie zien hoe je een nieuwe Security Group aanmaakt. In dit voorbeeld maken we de Security Group ‘Personeel’ aan. Vooraf hebben we de OU Personeel aangemaakt binnen het domein it-tools.nl

In PowerShell type je het volgende: New-ADGroup studenten -Path “ou=Personeel,dc=it-tools.nl,dc=com” -GroupScope Global -GroupCategory Security
— New-ADGroup MelakaBranchUsers = Dit commando maakt de nieuwe Group Personeel aan.
— -Path “ou=MelakaBranch,dc=cpx,dc=local” = Dit commando geeft de locatie aan waar de Security Group aangemaakt wordt.
— -GroupScope Global -GroupCategory Security = Hier wordt de Global Group gekozen en het type Group (Security).