I Active Directory är en grupp ett säkerhetsobjekt (security principal) som har ett eget SID (Security Identifier). Grupper används för att ge rättigheter till gruppmedlemmar.
Grundprincip: Ge rättigheter till grupper – och placera användare och andra grupper i dessa grupper.
Användare, datorer och grupper blir medlemmar i gruppen via attributet member. Dessa grupper används sedan i säkerhetskonfigurationer som ACL:er (åtkomstkontroll), GPO-delegeringar, SQL-inloggningar, share-rättigheter och liknande.
När en användare loggar in skapar Windows en access token som innehåller:
- användarens SID (numerisk identifikation),
- SID:ar för alla grupper användaren tillhör – både direkta och indirekta via nesting av grupper,
- och eventuell SIDHistory.
Access token fungerar som en digital ID-bricka som visar vem användaren är och framför allt vilka grupper användaren tillhör.
Vid åtkomstkontroll jämför Windows SID:ar i användarens access token med SID:ar i objektets ACL. Denna jämförelse – ACL-utvärdering – avgör om åtkomst beviljas eller nekas.
Typer av grupper
Active Directory innehåller två huvudtyper av grupper: säkerhetsgrupper och distributionsgrupper.
Säkerhetsgrupper (Security Groups)
Säkerhetsgrupper används för att tilldela rättigheter och kontrollera åtkomst till resurser. De kan innehålla användare, datorer och andra grupper. Eftersom säkerhetsgrupper har ett SID kan de användas i alla typer av säkerhetsrelaterade sammanhang, exempelvis NTFS, delningsrättigheter, GPO:er, RDP-behörigheter och delegationer i AD. De kan även mail-aktiveras i Exchange och därmed fungera som e-postlistor.
Distributionsgrupper (Distribution Groups)
Distributionsgrupper används för e-postdistribution och saknar säkerhets-SID. De kan därför inte användas i ACL:er och fungerar inte för åtkomstkontroll. De används främst i Exchange/Exchange Online eller andra katalogintegrerade system som hanterar mailinglistor.
I praktiken väljer administratörer nästan alltid säkerhetsgrupper, utom när gruppen enbart ska fungera som en e-postlista.
Gruppomfång (Group Scope)
Gruppomfånget definierar var en grupp kan användas och vilka typer av objekt som får vara medlemmar. Det är en central del av AD:s design, eftersom omfånget styr hur grupper fungerar både i enskilda domäner och i större skogsstrukturer med flera domäner.
Det är just gruppomfånget som avgör vilken typ av säkerhetsgrupp som skapas och användas. Det är alltså omfånget – inte namnet – som gör en grupp till en lokal, domänlokal, global eller universell grupp och ger den dess specifika egenskaper och användningsområde.
Lokal grupp (Local Group)
Lokala grupper skapas på en enskild dator eller medlemsserver och gäller endast på den maskinen. De kan innehålla lokala konton, domänkonton och domängrupper.
De används ofta för att ge administratörs- eller RDP (Remote Desktop Protocol) behörigheter på en specifik server. Exempelvis kan en domängrupp som ServerAdmins läggas i den lokala gruppen Administrators för att ge administrativ åtkomst just på den servern.
Många applikationer skapar även egna lokala grupper vid installation, exempelvis SQL Server, antivirus eller fjärrhanteringsverktyg.
Domän-lokal grupp (Domain Local Group)
Domän-lokala grupper finns i en specifik domän och används för att tilldela rättigheter till resurser i samma domän. De kan innehålla användare, datorer, globala grupper och universella grupper från hela skogen, men själva gruppen kan endast användas för rättighets tilldelning inom sin egen domän.
Global grupp (Global Group)
Globala grupper används främst för att organisera användare inom en domän utifrån roller eller funktioner. De kan innehålla användare, datorer och andra globala grupper från samma domän.
De kan däremot tilldelas rättigheter i alla domäner i skogen.
Det innebär att global-grupper är domänbundna i medlemskap men skogsglobala i användning.
Bilden visar hur globala grupper används i två olika domäner, New York och Miami, inom samma AD-skog för att ge användare åtkomst till en resurs i New York domän. Varje domän har sina egna användare och globala grupper, till exempel GG-NewYork-Marketing i domän New York och GG-Miami-Marketing i domän Miami. Eftersom globala grupper endast kan innehålla medlemmar från den egna domänen placeras respektive användare först i sin lokala globala grupp.
I domän New York finns en domänlokal grupp, DL-Marketing-Documents, som har rättigheter till mappen Marketing Documents. En domänlokal grupp kan ta emot globala grupper från alla domäner i skogen, vilket gör att både GG-NewYork-Marketing och GG-Miami-Marketing kan bli medlemmar i samma DL-grupp.
När de globala grupperna läggs in i DL-Marketing-Documents får samtliga användare i både New York och Miami åtkomst till mappen, trots att de befinner sig i olika domäner. Detta illustrerar Microsofts rekommenderade gruppdesignmodell AGDLP, där användare placeras i globala grupper, som i sin tur placeras i en domänlokal grupp som tilldelas rättigheter.
Universal grupp (Universal Group)
Universella grupper används i miljöer med flera domäner. De kan innehålla användare, datorer, globala grupper och andra universella grupper från alla domäner i skogen och kan också tilldelas rättigheter i hela skogen.
Eftersom universella grupper replikeras via Global Catalog orsakar varje medlemskaps ändring extra replikering. Därför bör de endast ändras när det verkligen behövs.
Att bygga gruppstrukturer
Det finns två etablerade modeller för att bygga logiska, skalbara och lätt administrerade gruppstrukturer: AGDLP och AGUDLP.
AGDLP – för miljöer med en domän
AGDLP står för Accounts till Global till Domain Local tilldelas Permissions.
Användare placeras först i globala grupper baserat på roll eller avdelning. Dessa globala grupper placeras sedan i domänlokala grupper, som i sin tur får rättigheter på resurser.
Modellen är enkel, tydlig och administrativt effektiv.
AGUDLP – för fler-domänsskogar
AGUDLP lägger till ett lager av universella grupper:
Accounts till Global till Universal till Domain Local tilldelas Permissions
Användarna ligger fortfarande i globala grupper i respektive domän, men dessa grupper samlas i universella grupper som kan användas över hela skogen. De universella grupperna placeras därefter i domänlokala grupper i resursdomänen.
AGDLP och AGUDLP i förhållande till Azure AD
Modellerna AGDLP och AGUDLP gäller endast i klassisk Active Directory (AD DS) där grupper har olika omfång (Global, Domain Local, Universal) och används för att styra åtkomst till resurser via ACL:er.
I Azure AD (Entra ID) finns inte dessa gruppomfång och ingen motsvarande ACL-baserad rättighetsmodell. Azure AD använder en helt annan struktur för identiteter, grupper och åtkomstkontroll, och därför kan AGDLP och AGUDLP inte tillämpas i Azure AD.