Magic Quadrant™ für Privileged Access Management 2025: Netwrix zum vierten Jahr in Folge anerkannt. Laden Sie den Bericht herunter.

Kontaktieren Sie unsUnterstützungCommunity
English Español Italiano Français Deutsch Português
Plattform
Lösungen

Data Security Posture Management

Entdecken und klassifizieren Sie Daten in hybriden Umgebungen. Bewerten, priorisieren und mindern Sie Risiken für sensible Daten.

Directory Management

Vereinfachen und sichern Sie die Directory-Verwaltung, indem Sie Komplexität, Risiko und manuellen Aufwand reduzieren.

Endpoint Management

Sichern Sie Endpunkte und verhindern Sie Datenverlust, während Sie die Produktivität der Teams aufrechterhalten — unabhängig davon, wo sie arbeiten.

Identity Management

Sichern Sie jede Identität, optimieren Sie jeden Prozess und bleiben Sie der Compliance voraus – ohne zusätzliche Komplexität.

Identity Threat Detection & Response

Bleiben Sie identitätsbasierten Bedrohungen einen Schritt voraus — beheben Sie Risiken proaktiv, blockieren Sie Angriffe und stellen Sie eine schnelle Wiederherstellung sicher.

Privileged Access Management

Reduzieren Sie Ihre Angriffsfläche, indem Sie ständige Berechtigungen entfernen, Anmeldeinformationen absichern und privilegierte Sitzungen überwachen.
Empfohlene Produkte Alle Produkte anzeigen
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

Die Netwrix 1Secure™ Plattform

Entdecken
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken bei Active Directory Compliance Preisgestaltung
Resource Center Alle ansehen
BlogAttack CatalogComplianceKundenerfahrungenCybersecurity FrameworksCybersecurity GlossarEventsFreewareGuidesIdeas PortalNewsPodcastsPublikationenProduktankündigungenForschungWebinare
Asset not found

Vorgestellte Kundenstory

DXC Technology ermöglicht es Kunden, die PCI DSS-Konformität zu erreichen und sich auf strategische Initiativen zu konzentrieren
Partner
PartnerprogrammWerden Sie PartnerMSPsPartnerfinderWebinare
Asset not found

Vorgestellte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert die Überwachungszeit erheblich
Asset not found

Vorgestellte Kundenstory

MSP hilft Klienten, sich in 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über unsFührungNetwrix AIKundenreferenzenAnerkennungNewsKarriere
Asset not found

Vorgestellte Kundenstory

Horizon Leisure Centres beschleunigt die Datenklassifizierung, um die DSGVO einzuhalten, und spart jährlich 80.000 £
Asset not found

Vorgestellte Kundenstory

Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Implementierung durch Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Sicherheitsgruppen in Active Directory vs Verteilergruppen

Sicherheitsgruppen in Active Directory vs Verteilergruppen

Apr 27, 2023

Die Verwendung von Gruppen ist eine bewährte Methode für das Active Directory-Management. Dieser Artikel beschreibt die zwei Arten von Active Directory-Gruppen — Sicherheitsgruppen und Verteilergruppen — und bietet Anleitungen für deren effektiven Einsatz.

Wesentliche Unterschiede zwischen Sicherheitsgruppen und Verteilerlisten

Sicherheitsgruppen und Verteilergruppen (häufiger als Verteilerlisten bezeichnet) sind beides Active Directory-Gruppen, aber sie sind für sehr unterschiedliche Zwecke konzipiert:

  • Sicherheitsgruppen werden verwendet, um den Zugriff von Benutzern und Computern auf gemeinsam genutzte IT-Ressourcen wie Daten und Anwendungen zu verwalten. Berechtigungen werden der Sicherheitsgruppe zugewiesen, und alle Benutzer- und Computerkonten, die Mitglieder der Gruppe sind, erhalten diese Berechtigungen automatisch.
  • Verteilergruppen (Verteilerlisten) werden verwendet, um E-Mails an eine Gruppe von Benutzern zu senden, ohne dass der Absender jede E-Mail-Adresse einzeln eingeben muss.

Beachten Sie, dass Sie Sicherheitsgruppen für die E-Mail-Verteilung verwenden können, jedoch keine Verteilerlisten zur Zuweisung von Berechtigungen.

Jetzt wollen wir tiefer in jede Art von AD-Gruppe eintauchen.

Sicherheitsgruppen

Active Directory security groups are used to manage user and computer access to shared resources, such as folders, applications and printers. This makes provisioning easier and more accurate. For example, when a new person joins the organization, the IT team can quickly grant them access to exactly the resources they need to do their job simply by adding them to the appropriate security groups, such as the groups for their department and their specific projects. Security groups can also be set up to deny a set of users access to a particular resource.

Zwei Hauptfunktionen einer Sicherheitsgruppe sind:

  • Benutzerrechte zuweisen: Das Zuweisen von Benutzerrechten an eine Sicherheitsgruppe bestimmt, was die Mitglieder dieser speziellen Gruppe innerhalb eines Domänenbereichs tun können. Zum Beispiel kann ein Benutzer, der zur Gruppe der Backup-Operatoren hinzugefügt wird, Dateien und Verzeichnisse auf jedem Domänencontroller in der Domäne sichern und wiederherstellen. Als Mitglied dieser Gruppe erben Sie die der Gruppe zugewiesenen Benutzerrechte.
  • Berechtigungen für Ressourcen zuweisen: Dies unterscheidet sich von Benutzerrechten, da Benutzerrechte für eine gesamte Domäne gelten, im Gegensatz zu Berechtigungen, die auf eine spezifische Entität gerichtet sind. Berechtigungen bestimmen, wer auf die Ressource zugreifen kann und das Zugriffsniveau, wie zum Beispiel Vollzugriff oder Nur-Lesen.

Einfach ausgedrückt, Benutzerrechte gelten für Benutzerkonten, während Berechtigungen mit Objekten verknüpft sind.

Administratoren können Sicherheitsgruppen erstellen und deren Berechtigungen und Mitgliedschaft über verschiedene Methoden verwalten, einschließlich der Active Directory Users and Computers (ADUC)-Konsole, Windows PowerShell und Drittanbieter-Gruppenverwaltungssoftware.

Was sind Berechtigungen für Active Directory Security Groups?

Berechtigungen in Active Directory sind ein Satz von Regeln und Vorschriften, die definieren, wie viel Autorität ein Objekt hat, um andere Objekte und Dateien im Verzeichnis anzusehen oder zu ändern. Um sicherzustellen, dass Benutzer nur Zugriff auf die Ressourcen haben, die sie benötigen, weisen IT-Administratoren Berechtigungen über Zugriffskontrolllisten (ACLs) zu.

Was sind Access Control Lists (ACLs)?

Zugriffskontrolllisten definieren Entitäten, die Zugriff auf ein Objekt haben und die Art des Zugriffs. Diese Entitäten können Benutzerkonten, Computerkonten oder Gruppen sein. Wenn beispielsweise ein Dateiobjekt eine ACL enthält, die (Mary: lesen; Sarah: lesen, schreiben) enthält, würde dies Mary erlauben, die Datei zu lesen und Sarah, sie zu lesen und zu schreiben.

Eine Zugriffskontrollliste kann für ein einzelnes Objekt oder eine Organisationseinheit (OU) konfiguriert werden, was bedeutet, dass alle untergeordneten Objekte der OU die ACL erben.

Arten von Access Control Lists

Es gibt zwei Arten von ACLs, von denen jede eine eigene Funktion erfüllt:

  • Diskretionäre Zugriffskontrollliste (DACL): Diese Liste gibt die einem Objekt zugewiesenen Zugriffsrechte einer Entität an. Wenn eine Entität oder ein Prozess versucht, auf ein Objekt zuzugreifen, bestimmt das System den Zugriff anhand der folgenden Kriterien:
    • Wenn ein Objekt keine DACL hat, gewährt das System jedem vollen Zugriff darauf.
    • Wenn ein Objekt eine DACL hat, erlaubt das System den Zugriff, der durch die Zugriffskontrolleintragungen (ACEs) in der DACL ausdrücklich erlaubt ist.
    • Wenn eine DACL ACEs enthält, die den Zugriff auf eine begrenzte Benutzer- oder Gruppenauswahl erlauben, verweigert das System implizit den Zugriff für alle, die nicht in den ACEs enthalten sind.
    • Wenn die DACL eines Objekts keine ACEs enthält, erlaubt das System niemandem den Zugriff.
  • Systemzugriffskontrollliste (SACL): Diese Liste erstellt Prüfberichte, die angeben, welche Entität versucht hat, auf ein Objekt zuzugreifen. Es wird auch angegeben, ob der Entität der Zugriff verweigert oder gewährt wurde und welche Art von Zugriff bereitgestellt wurde.

Verbessern Sie die AD-Sicherheit mit Netwrix Directory Manager

Vereinfachen Sie das Management von Sicherheits- und Verteilergruppen in AD

Tipp: Vermeiden Sie die Verwendung von Security Groups zum Senden von E-Mails

In einer normalen Konfiguration werden Verteilergruppen, die in Exchange und Microsoft 365 erstellt werden, standardmäßig E-Mail-Adressen zugewiesen, jedoch Sicherheitsgruppen nicht. Daher können Sicherheitsgruppen normalerweise nicht für die E-Mail-Verteilung verwendet werden. Es ist jedoch möglich, eine Sicherheitsgruppe mail-fähig zu machen, um sie sowohl für den Zugriff auf Ressourcen als auch für das Senden von E-Mails zu nutzen.

Dennoch ist es keine gute Praxis, Sicherheitsgruppen für E-Mails zu verwenden, da dies die Sicherheit gefährden könnte. Eine mailaktivierte Sicherheitsgruppe erhöht zuerst das Risiko von Identitätsdiebstahl für sich selbst, was sich auf andere Sicherheitsgruppen ausbreiten könnte, die Mitglieder der kompromittierten Gruppe sind. Oder beispielsweise, wenn eine mailaktivierte Sicherheitsgruppe einen bösartigen Link in einer Nachricht erhält, könnte dies die Privatsphäre Ihrer Organisation stören, indem bestimmte Einstellungen beeinträchtigt werden.

Wenn Sie die Anforderung haben, eine E-Mail an alle Mitglieder einer Sicherheitsgruppe zu senden, ist es am besten, eine Verteilergruppe mit denselben Mitgliedern wie die Sicherheitsgruppe zu erstellen.

Verteilergruppen

Active Directory-Verteilergruppen werden verwendet, um E-Mails an eine Gruppe von Benutzern zu senden, anstatt einzeln an jeden Empfänger. Beispielsweise könnte ein Unternehmen eine Verteilerliste für alle Mitarbeiter einrichten, eine weitere Verteilerliste für alle Manager und eine separate Verteilerliste für jede Abteilung. Wenn Sie eine E-Mail an eine dieser Gruppen senden möchten, können Sie einfach die Verteilergruppe auswählen, anstatt alle Empfänger einzeln hinzufügen zu müssen. Dies spart Zeit und erhöht die Genauigkeit.

Wie bereits erwähnt, können Sie Verteilerlisten keine Berechtigungen zuweisen.

Verteilergruppen vs Gemeinsame Postfächer

Eine Verteilerliste unterscheidet sich deutlich von einem gemeinsam genutzten Postfach. Ein gemeinsam genutztes Postfach wird verwendet, wenn mehrere Personen Zugang zum selben Postfach benötigen. Beispielsweise könnten das Helpdesk-Team und das IT-Support-Team ein gemeinsam genutztes Postfach nutzen, damit sie bei Aufgaben zusammenarbeiten können. Außerdem kann jedes Mitglied der Teams im Namen der Teams E-Mails senden und empfangen. Typischerweise hat ein gemeinsam genutztes Postfach eine allgemeine Adresse wie „ITsupport@company.com“, sodass sie gleich bleibt, auch wenn sich die Zusammensetzung des verantwortlichen Teams im Laufe der Zeit ändert. Wenn ein Benutzer eine E-Mail von einem gemeinsam genutzten Postfach sendet, wird sie von der Adresse des gemeinsam genutzten Postfachs und nicht von der eigenen E-Mail-Adresse des Benutzers gesendet. Eine Kopie dieser E-Mail wird an das gemeinsam genutzte Postfach gesendet, damit alle anderen Mitglieder sie sehen können.

Ein Szenario, das den Unterschied zwischen einer Verteilerliste und einem gemeinsamen Postfach hervorhebt, ist das Löschen von E-Mails. Wenn ein Benutzer eine E-Mail aus einem gemeinsamen Postfach löscht, wird diese E-Mail für alle, die Zugang zu diesem Postfach haben, gelöscht. Aber wenn ein Mitglied einer Verteilerliste eine an die Gruppe gesendete E-Mail löscht, wird diese E-Mail nicht aus dem Postfach eines anderen Empfängers gelöscht.

Können Verteilergruppen von Sicherheitsgruppen verwaltet werden und umgekehrt?

Eine Sicherheitsgruppe kann zum Besitzer einer Verteilergruppe gemacht werden. Dadurch würden alle Mitglieder der Sicherheitsgruppe befähigt, diese Verteilergruppe zu verwalten – zum Beispiel ihre Nicht-Zustellberichte und Senden/Empfangen Nachrichtenbeschränkungen. Beispielsweise könnte eine für ein Projektteam erstellte Sicherheitsgruppe der Besitzer seiner zugehörigen Verteilerliste sein und das Team für Unternehmenskommunikation könnte der Besitzer mehrerer Verteilerlisten für das Unternehmen sein.

Andererseits kann eine Verteilergruppe nicht zum Besitzer einer Sicherheitsgruppe gemacht werden.

Ist es sicher, Verteilergruppen und Sicherheitsgruppen zu löschen?

Das Löschen einer Verteilergruppe stellt keine Bedrohung für die Sicherheit Ihrer Organisation dar, allerdings kann das versehentliche Löschen zu Kommunikationsstörungen führen, bis die Gruppe aus einem Backup wiederhergestellt oder eine neue erstellt und mit denselben Mitgliedern gefüllt wird.

Das Löschen einer Sicherheitsgruppe kann jedoch ernsthafte Folgen haben, wie zum Beispiel:

  • Sicherheit — Das Löschen einer Sicherheitsgruppe, die den Zugang der Mitglieder zu bestimmten Ressourcen einschränkt, würde diesen Benutzern Zugang zu diesen Ressourcen gewähren.
  • Produktivität — Das Löschen einer Sicherheitsgruppe, die ihren Mitgliedern Zugriff auf bestimmte Ressourcen gewährt, würde die Benutzer daran hindern, auf die Daten und Anwendungen zuzugreifen, die sie für ihre Arbeit benötigen.

Seien Sie daher vorsichtig beim Löschen von Sicherheitsgruppen.

Fazit

Die Genauigkeit und Aktualität Ihrer Sicherheitsgruppen und Verteilerlisten ist entscheidend für die Sicherheit und Geschäftskontinuität. Um die Arbeit zu vereinfachen, sollten Sie in eine Lösung wie Netwrix Directory Manager investieren, die es einfach macht sicherzustellen, dass:

  • Jede Gruppe in Ihrem Verzeichnis hat einen Zweck.
  • Jede Gruppe hat einen Besitzer.
  • Benutzern wird keine unnötige Mitgliedschaft in Gruppen gewährt.
  • Keine Gruppen haben übermäßige Berechtigungen.
  • Gruppen überdauern nicht ihren eigentlichen Zweck.
  • Duplikate von Gruppen existieren nicht.

Holen Sie sich den Leitfaden zum Active Directory Group Management

Erfahren Sie, wie Sie AD-Verzeichnisgruppen mit diesem eBook besser verwalten können

Erfahren Sie mehr

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Kevin Joyce

Direktor für Product Management

Director of Product Management bei Netwrix. Kevin hat eine Leidenschaft für Cybersicherheit, insbesondere das Verständnis der Taktiken und Techniken, die Angreifer nutzen, um Umgebungen von Organisationen auszunutzen. Mit acht Jahren Erfahrung im Produktmanagement, mit Schwerpunkt auf Active Directory und Windows-Sicherheit, hat er diese Leidenschaft genutzt, um Lösungen für Organisationen zu entwickeln, die ihre Identitäten, Infrastruktur und Daten schützen helfen.

Erfahren Sie mehr zu diesem Thema

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Wie man Passwörter mit PowerShell erstellt, ändert und testet

So fügen Sie AD-Gruppen hinzu und entfernen Objekte in Gruppen mit PowerShell

Active Directory-Attribute: Letzte Anmeldung

Vertrauensstellungen in Active Directory

Neueste blogbeiträge

Die nächsten fünf Minuten der Compliance: Aufbau einer identitätsorientierten Datensicherheit in der APAC-Region

Konfigurationsmanagement für sichere Endpoint-Kontrolle

Data Classification und DLP: Verhindern Sie Datenverlust, weisen Sie Compliance nach

CMMC-Compliance und die entscheidende Rolle der MDM-Stil USB-Kontrolle beim Schutz von CUI

DSPM, ASM und ITDR: Entwicklung einer datengesteuerten, risikobewussten Sicherheitsstrategie

Vom Lärm zur Aktion: Datenrisiken in messbare Ergebnisse umwandeln

KI im Einsatz: Geschwindigkeit, Risiko und warum Einfachheit siegt

Datenschutzgesetze der Bundesstaaten: Unterschiedliche Ansätze zum Datenschutz

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Unsere top-artikel

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Download and Install PowerShell 7

Die größten und berüchtigtsten Cyberangriffe der Geschichte

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Extrahieren von Passwort-Hashes aus der Ntds.dit-Datei

Anleitung zum Einbinden von Unix-Freigaben mit einem Windows NFS-Client

Wie unsichere und anfällige offene Ports ernsthafte Sicherheitsrisiken darstellen