Groups in AD

google:

Domain local groups
Domain local security groups are most often used to assign permissions for access to resources. You can assign these permissions only in the same domain where you create the domain local group. Members from any domain may be added to a domain local group.

The domain local scope can contain user accounts, universal groups, and global groups from any domain. In addition, the scope can both contain and be a member of domain local groups from the same domain.

Global groups
Global security groups are most often used to organize users who share similar network access requirements. Members can be added only from the domain in which the global group was created. A global group can be used to assign permissions for access to resources in any domain. The global scope can contain user accounts and global groups from the same domain, and can be a member of universal and domain local groups in any domain.

Universal groups
Universal security groups are most often used to assign permissions to related resources in multiple domains. Members from any domain may be added. Also, you can use a universal group to assign permissions for access to resources in any domain. Universal security groups are not available in mixed mode. The full feature set of Windows 2000 and later Microsoft NT-based operating systems is available only in native mode. The universal scope can contain user accounts, universal groups, and global groups from any domain. The scope can be a member of domain local or universal groups in any domain.

[ Voor 6% gewijzigd door Pakjebakmeel op 30-10-2007 15:50 ]

Wat je zegt klopt wel.
Resources koppel je local domain. Users in global groups.

Tip:
Maak 1 share bv. groups.
Installeer Acces based enumeration (ff googlen) en activeer deze voor je share.
Gebruikers kunnen nu alleen die mappen in groups zien waar ze rechten voor hebben.

Heerlijke tool en bespaard je enorm veel gerommel met shares.

wappie1980 schreef op dinsdag 30 oktober 2007 @ 16:40:
Heerlijke tool en bespaard je enorm veel gerommel met shares.

En is dodelijk voor je performance als je veel users & groups hebt


De afweging of je DLG wilt gebruiken voor je Resources is ook afhankelijk van de grootte van je netwerk/AD en in hoeverre je het onderhoud van groepen en permissies wil kunnen vereenvoudigen.

alt-92 schreef op dinsdag 30 oktober 2007 @ 17:03:
[...]

En is dodelijk voor je performance als je veel users & groups hebt

Toch aardig veel (1200 leerlingen, 200 personeelsleden).
Performance op het moment nog geen problemen mee gehad, maar tx voor de waarschuwing, had ik zelf nog niet bij stilgestaan.

Rotty schreef op dinsdag 30 oktober 2007 @ 17:40:
maar als er veel shares zijn en veel uitzonderingen zitten in je rechten en je hebt diepe boomstructuren in je shares met afwijkingen dan zal het wellicht handiger zijn om meteen global groups eronder te hangen...

Nee, dan moet je je structuur onder de loep nemen om juist van al die idiote en onoverzichtelijke nesting-bende af te komen

wappie1980 schreef op dinsdag 30 oktober 2007 @ 17:35:
Toch aardig veel (1200 leerlingen, 200 personeelsleden).

da's niet veel

800.000 useraccounts, 1.2 miljoen groepen.
Das pas veel.
Users boeien met ABE niet eens zoveel, het gaat namelijk om de groepen die geenumereerd moeten worden, en bij een paar duizend GSgroups gaat dat echt een grote rol spelen.

[ Voor 32% gewijzigd door alt-92 op 30-10-2007 17:53 ]

Rotty schreef op dinsdag 30 oktober 2007 @ 19:40:
Maar ff een wild guess; met 800.000 useraccounts, 1.2 miljoen groepen zal zelfs jij er niet geheel aan ontkomen..

Daar heb je gelijk in hoor
Alleen maken we gebruik van RoleBased Access Control, en een rol is technisch ook een groep (en daar zit wel nesting in).
Resources als fileshares bijvoorbeeld worden echter rechtstreeks met global groups gedaan, en daar worden users en/of rollen aan toegekend.

Maar ik snap de structuur inmiddels tnx all...

Hou altijd in het achterhoofd dat een Best Practice niet altijd datgene is wat voor jouw situatie de beste oplossing is

Rotty schreef op woensdag 31 oktober 2007 @ 08:47:
De bizarre aantallen die je noemt maken me echter wel weer nieuwsgierig wat voor n bedrijf dit is..

Dat vroeg ik me ook al af.
Zoveel bedrijven zijn er niet op deze planeet die 800.000 useraccounts hebben. (bestaan die wel???)

[ Voor 3% gewijzigd door Xiliath op 31-10-2007 09:36 ]

wappie1980 schreef op woensdag 31 oktober 2007 @ 09:35:
[...]


Dat vroeg ik me ook al af.
Zoveel bedrijven zijn er niet op deze planeet die 800.000 useraccounts hebben. (bestaan die wel???)

het grootste wat ik ooit ben tegengekomen is 270.000. Maar dit was alleen in een maildomain en daar werd met behulp van miis de verschillende emailadressen getransleerd naar de verschillende locaties op de wereld (wat geen ms hoefde te zijn overigens). Er was in dit domain alleen een exchange relay omgeving, verder niets.

Echter 50.000 gebruikers is niet zoveel bijzonders in 1 ad. Bedenk hierbij wel dat er nooit 1 persoon is die dit beheerd en op fileserver niveau zijn het dan vaak niet de mensen met domain admin rechten die groepjes aanmaken etc. Gewoon een mooie OU structuur, goede delegatie en goede procedures in overeenstemming met de techniek...

wappie1980 schreef op woensdag 31 oktober 2007 @ 09:35:
Dat vroeg ik me ook al af.
Zoveel bedrijven zijn er niet op deze planeet die 800.000 useraccounts hebben. (bestaan die wel???)

Dat aantal klopt ook niet, overigens
Kwam door een brakke conversieslag die accounts 4x meeneemt.
Binnen Europa zitten we echter al op een slordige 67.000 accounts (en er zijn meerdere accounts per persoon soms).