Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
So erstellen Sie Active Directory-Abfragebasierte Gruppen

So erstellen Sie Active Directory-Abfragebasierte Gruppen

Jan 23, 2024

Die Verwendung von Active Directory (AD) Sicherheitsgruppen und Verteilergruppen ist eine bewährte Methode, um die IT-Verwaltung zu vereinfachen, die Sicherheit zu erhöhen und eine effektive Kommunikation zu ermöglichen. Allerdings ist in vielen Organisationen die Mitgliedschaft dieser Gruppen durch eine explizite Liste spezifischer Benutzer, Computer und anderer Entitäten definiert. Der Einsatz dieser statischen Gruppen ist sowohl arbeitsintensiv als auch fehleranfällig, denn wenn Mitarbeiter dem Unternehmen beitreten oder ihre Rollen wechseln, Geräte hinzugefügt oder außer Betrieb genommen werden oder andere Änderungen eintreten, müssen alle zugehörigen Gruppen manuell aktualisiert werden.

Ausgewählte verwandte Inhalte:

Es gibt eine nützliche Alternative, die die Sicherheit verbessert und den IT-Aufwand reduziert: die dynamische Bestimmung der Gruppenmitgliedschaft durch Ausführen einer AD-Abfrage. Microsoft bietet eine benutzerfreundliche Schnittstelle zur Erstellung von Verteilergruppen basierend auf einer LDAP-Abfrage. Leider gibt es keine entsprechende GUI zur Erstellung von abfragebasierten Sicherheitsgruppen – welche den Großteil der AD-Gruppen ausmachen; die einzige native Option besteht darin, Skripte mit Windows PowerShell zu erstellen.

Dieser Artikel erklärt die nativen Methoden zur Erstellung beider Arten von dynamischen Gruppen und bietet dann eine leistungsstarke Alternative: Smart Groups in Netwrix Directory Manager.

Verteilergruppen

Beginnen wir mit Verteilergruppen, die häufiger als Verteilerlisten bezeichnet werden. Verteilerlisten ermöglichen es Benutzern, E-Mail-Nachrichten effizienter und genauer an Gruppen von Personen zu senden. Beispielsweise könnten Sie für jede Abteilung und jedes Team sowie für jeden Bürostandort eine Verteilerliste erstellen. Diese Verteilerlisten erscheinen in der Globalen Adressliste (GAL), sodass Geschäftsanwender einfach einen Eintrag aus der GAL auswählen können, um Nachrichten an eine ganze Gruppe von Kollegen zu senden.

Nachteile von statischen Verteilergruppen

Da Mitarbeiter ständig der Organisation beitreten, sie verlassen und innerhalb dieser ihre Rollen wechseln, ist es jedoch für IT-Teams eine Last, die Verteilerlisten aktuell zu halten. In einigen Fällen haben sie möglicherweise nicht einmal die notwendige Einsicht, um sicherzustellen, dass sie die Listen korrekt befüllen.

Die Folgen davon, Verteilerlisten nicht aktuell zu halten, können schwerwiegend sein. Wenn Benutzer, die auf einer Liste stehen sollten, nicht aufgeführt sind, erhalten sie keine Nachrichten, die für ihre eigene Produktivität und für wesentliche Geschäftsprozesse wichtig sein könnten. Noch schlimmer, ungenaue Verteilerlisten sind ein Sicherheits- und Compliance-Problem, da Nachrichten an Personen gesendet werden könnten, die die enthaltenen Informationen nicht sehen sollten.

Abfragebasierte Verteilergruppen

Um zu helfen, führte Microsoft abfragebasierte Verteilergruppen in Exchange Server 2003 ein. Sie bieten dieselbe Funktionalität wie Standardverteilungsgruppen, aber die Mitgliedschaft wird nicht durch eine statische Liste von Benutzern bestimmt. Stattdessen wird die Mitgliedschaft dynamisch durch LDAP-Abfragen generiert, die ausgeführt werden, wann immer jemand eine E-Mail an die zugehörige Gruppe sendet.

Zum Beispiel können Sie eine LDAP-Abfrage erstellen, die die Mitgliedschaft einer Gruppe als alle Benutzer definiert, die derzeit in einer bestimmten Abteilung Ihrer Organisation sind. Wenn ein bestimmter Benutzer in eine andere Abteilung wechselt, wird er, sobald sein AD-Benutzerobjekt aktualisiert ist, keine E-Mails mehr erhalten, die an die Verteilergruppe gesendet werden — ohne dass jemand manuell die Mitgliedschaft der Verteilerliste ändern muss.

Sie können die einer Verteilergruppe zugeordnete Abfrage in msExchDynamicDLFilter und msExchQueryFilter im Active Directory finden.

So erstellen Sie eine abfragebasierte Verteilergruppe mit Microsoft Exchange

Abfragebasierte Verteilergruppen lassen sich leicht erstellen:

  1. Launch the Exchange Admin Center and select Recipients in the left pane.
  2. Navigieren Sie zu Groups > New > Dynamic distribution group.
  3. Im Assistenten für die neue dynamische Verteilergruppe geben Sie die folgenden Eigenschaften der neuen Liste an:
  4. Ein Name, Alias und Beschreibung für die Gruppe
  5. Die Organisationseinheit (OU), in der Sie die Gruppe erstellen möchten
  6. Der Besitzer der Gruppe (optional, aber empfohlen)
  7. Die Art der Empfänger, wie Ressourcenpostfächer oder Benutzer, die Exchange-Postfächer haben
  8. Die Kriterien für die Mitgliedschaft eines Benutzers in der Verteilerliste, wie zum Beispiel deren Abteilung und geografischer Standort
  9. Klicken Sie auf Save um die Gruppe zu erstellen.

Einschränkungen von abfragebasierten Verteilergruppen, die über Exchange erstellt wurden

Abfragebasierte Verteilergruppen, die über Exchange erstellt wurden, sind genauer und einfacher zu pflegen als statische Verteilerlisten, aber sie haben einige wichtige Eigenschaften, die man beachten sollte:

  • Die Attribute zur Bestimmung der Mitgliedschaft in einer Verteilerliste beschränken sich auf einige gängige Benutzerattribute — Container, Bundesland oder Provinz, Unternehmen und Abteilung — sowie auf einige benutzerdefinierte Attribute.
  • Da die Mitgliedschaft in einer Verteilerliste bestimmt wird, wenn eine E-Mail an diese Liste gesendet wird, können Geschäftsanwender die Mitglieder einer Verteilerliste in ihrem Outlook-Client nicht sehen und daher nicht genau wissen, wer eine Nachricht erhalten wird, die sie an die Liste senden.
  • Die Abfrage wird jedes Mal ausgewertet, wenn eine E-Mail an eine abfragebasierte Verteilerliste gesendet wird. Daher stellt die umfangreiche Nutzung dieser Gruppen eine erhebliche Belastung für den Exchange-Server und den global catalog dar.

Sicherheitsgruppen

While distribution groups are certainly valuable and need to be kept current to ensure security and productivity, AD security groups are even more important. Administrators rely on AD security groups to quickly and accurately provision users with the access permissions they need based on their roles in the organization. For example, you can create a security group named “Sales” and grant it access rights to the specific information, applications and other resources needed by members of the Sales department. Every user who is a member of a group automatically gets all the access rights assigned to that group.

Nachteile von statischen Sicherheitsgruppen

Genau wie bei statischen Verteilergruppen stehen IT-Teams vor der ständigen Herausforderung sicherzustellen, dass genau die richtigen Benutzer Mitglieder jeder statischen Sicherheitsgruppe sind. Tatsächlich ist es üblich, dass Mitarbeiter, wenn sie innerhalb einer Organisation im Laufe der Zeit ihre Rollen wechseln, Mitgliedschaften in Gruppen beibehalten, die nicht mehr relevant für ihre Aufgaben sind. Wenn beispielsweise jemand von der Verkaufsabteilung ins Marketing wechselt, behalten sie oft Berechtigungen für Verkaufsdatenbanken und andere Ressourcen, auf die sie nicht mehr zugreifen können sollten, weil niemand sie aus den verkaufsbezogenen Gruppen entfernt hat. Überlastete Administratoren können auch Fehler machen, wie zum Beispiel einen Junior-Mitarbeiter in eine Gruppe wie „Manager“ hinzuzufügen, wodurch sie unangemessenen Zugang zu sensiblen Informationen erhalten.

Diese Überbereitstellung ist ein ernstes Problem sowohl für die Sicherheit als auch für die Einhaltung von Vorschriften. Andererseits versäumen es IT-Teams manchmal, Benutzern die Mitgliedschaft in allen Sicherheitsgruppen zu gewähren, zu denen sie gehören sollten, was wichtige Geschäftsprozesse stören und den Helpdesk belasten kann.

Aktualisierung der Mitgliedschaft von Sicherheitsgruppen mit Microsoft PowerShell

Administratoren können Windows PowerShell verwenden, um eine Sicherheitsgruppe gemäß einer Abfrage zu erstellen und zu füllen. Sie können auch ein Skript verwenden, um die Mitgliedschaft einer Sicherheitsgruppe zu aktualisieren, anstatt Mitglieder manuell hinzuzufügen oder zu entfernen. Zum Beispiel stellt das folgende Skript sicher, dass die Sicherheitsgruppe PseudoDynamicGroup nur mit Benutzern aus einer bestimmten OU (desiredUsers) gefüllt wird:

Import-Module ActiveDirectory

      #Define the variable ‘groupname’ and load it with the members of the group ‘PseudoDynamicGroup’.

    $groupname = PseudoDynamicGroup

    #Define the variable ‘users’ and populate it with all the users in specified OU.

    $users = Get-ADUser -Filter * -SearchBase "ou=desiredUsers,dc=domain,dc=tld"

    #Iterate through the users in the ‘users’ variable. Add each of them to the group ‘PseudoDynamicGroup’ if they are not already a member.

    foreach($user in $users)

    {

      Add-ADGroupMember -Identity $groupname -Member $user.samaccountname -ErrorAction SilentlyContinue

    }

    #Define the variable ‘members’ and populate it with the current membership of the security group ‘PseudoDynamicGroup’.

    $members = Get-ADGroupMember -Identity $groupname

    #Iterate through the users in the ‘members’ variable. If any user is not in the specified OU, remove them from ‘PseudoDynamicGroup’.

    foreach($member in $members)

    {

      if($member.distinguishedname -notlike "*ou=desiredUsers,dc=domain,dc=tld*")

      {

        Remove-ADGroupMember -Identity $groupname -Member $member.samaccountname

      }

    }

Einschränkungen von abfragebasierten Sicherheitsgruppen, die über PowerShell erstellt wurden

Offensichtlich ist es eine enorme Aufgabe, ein PowerShell-Skript wie dieses für jede AD-Sicherheitsgruppe mühsam zu erstellen, was spezielle Fähigkeiten erfordert. Zusätzlich müssen die Skripte gewartet und neue geschrieben werden, sobald neue Projekte oder Teams entstehen. Viele Organisationen verfügen einfach nicht über die IT-Ressourcen, um sich dieser herausfordernden und kritischen Arbeit zu widmen, was sie dazu veranlasst, nach einer robusten Drittanbieterlösung wie Netwrix Directory Manager zu suchen.

Abfragebasierte Gruppen mit Netwrix Directory Manager

Mit Netwrix Directory Manager können Sie problemlos Verteilerlisten und Sicherheitsgruppen erstellen, deren Mitgliedschaft dynamisch durch Active Directory-Abfragen bestimmt wird. Diese abfragebasierten Gruppen werden Smart Groups genannt.

Um eine Smart Group zu erstellen, müssen Sie einfach eine AD-Abfrage für die Gruppe definieren und den Zeitplan für deren Ausführung festlegen. Jedes Mal, wenn die Abfrage ausgeführt wird, holt sie Objekte aus dem Verzeichnis, um die Gruppenmitgliedschaft zu aktualisieren. Die Abfrage kann manuell oder automatisch nach einem definierten Zeitplan ausgeführt werden. Als Ergebnis, im Gegensatz zu dynamischen Verteilerlisten, die über Exchange erstellt wurden, belasten Netwrix Directory Manager Verteilergruppen den Exchange-Server nicht unnötig, indem sie jedes Mal eine Abfrage ausführen, wenn eine E-Mail an die Gruppe gesendet wird.

Erstellen von Abfragen

Mit dem Query Designer in Netwrix Directory Manager erhalten Sie eine intuitive visuelle Schnittstelle zum Erstellen von Abfragen; es besteht keine Notwendigkeit, PowerShell-Befehle zu schreiben. Er verfügt über die folgenden Registerkarten:

  • Allgemein — Wählen Sie den Typ von Objekten aus, die Mitglieder der Gruppe sein können.
  • Speicherung — Wählen Sie die Postfächer auf einem beliebigen Exchange-Server oder in einer Postfachdatenbank aus.
  • Identity Store — Legen Sie Kriterien für die Gruppenmitgliedschaft fest. Zum Beispiel können Sie die Attribute Standort, Unternehmen, Abteilung oder Mitarbeiter-ID verwenden und auch logische Bedingungen wie UND und ODER anwenden, um die Ergebnisse weiter zu filtern.
  • Fortgeschritten — Verwenden Sie externe Datenquellen wie Oracle, ODBC, Microsoft SQL Server oder Textdateien, um die Mitgliedschaft der Gruppe zu bestimmen.
  • Einbeziehen/Ausschließen — Objekte unabhängig vom Abfrageergebnis zur Gruppenmitgliedschaft hinzufügen oder entfernen.
  • Smart Script —Schreiben Sie ein Skript basierend auf Ihrer eigenen benutzerdefinierten Logik mit Unterstützung von VB Script.

Fazit

Abfragebasierte Sicherheitsgruppen und Verteilerlisten sind unverzichtbar, um die Sicherheit und Geschäftsproduktivität zu verbessern und gleichzeitig den IT-Aufwand zu reduzieren. Allerdings können native Optionen bei der Verwendung dynamischer Verteilerlisten Ihre Exchange-Ressourcen überlasten, und das Erstellen dynamischer Sicherheitslisten erfordert umfangreiche Zeit und PowerShell-Kenntnisse. Netwrix Directory Manager bietet eine leistungsstarke Alternative: Smart Groups, die es einfach machen, dynamische Sicherheitsgruppen und Verteilerlisten zu erstellen und zu pflegen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Jonathan Blackwell

Leiter der Softwareentwicklung

Seit 2012 hat Jonathan Blackwell, ein Ingenieur und Innovator, eine führende Rolle in der Ingenieurskunst übernommen, die Netwrix GroupID an die Spitze des Gruppen- und Benutzermanagements für Active Directory und Azure AD Umgebungen gebracht hat. Seine Erfahrung in Entwicklung, Marketing und Vertrieb ermöglicht es Jonathan, den Identity-Markt und die Denkweise der Käufer vollständig zu verstehen.

Erfahren Sie mehr zu diesem Thema

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Was ist elektronisches Records Management?

Quantitative Risikoanalyse: Jährliche Verlust Erwartung

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen