In diesem kurzen Artikel möchte ich auf das Thema Sicherheitsgruppen & Verteilergruppen eingehen. Dieses ist ein neuer Ansatz, dieses Thema zu besprechen und es für den „normalen“ Anwender Verständlich zu machen.
Hinweis: Mein System in dem ich mich bewege, ist M365. Entsprechend nutze ich als AD System Microsoft Azure Active Directory und den Exchange Online. Solltet ihr andere Systeme betreiben, kann dieser Beitrag von eurem System abweichen.
Sicherheitsgruppen (Azure Active Directory)
Was ist eine Sicherheitsgruppe
Beginnen wir zunächst mit der Klärung des Begriffs Sicherheitsgruppe. Diese finden wir in unserem AD. In meinem System wäre dies das Microsoft Azure Active Directory. Hier sind die Sicherheitsgruppe vorhanden, die meinen User den Zugriff auf Dienste gewähren. Das beinhalt den Zugriff auf Ordner des Netzlaufwerks, Zugriff auf Applikationen oder Auch Funktionen innerhalb einer Applikation. Beispiel: Ein Team in Microsoft Teams anlegen.
Außerdem ist es auch möglich einen E-Mail Verteiler über so eine Gruppe zu steuern. Füge ich nun einen Benutzer in diese Sicherheitsgruppe hinzu, wird er nach einigen Minuten in diesen Mailverteiler aufgenommen und erhält auch die gesendeten Mails an ein Spezielles Konto. Oftmals sind auch Service Konten für Outlook über eine derartige Berechtigung verbunden.
Sicherheitsgruppe anlegen
Um eine Sicherheitsgruppe anlegen zu können gehen wir in unser AD, suchen uns den Bereich Gruppen aus und erstellen dort eine solche.
Innerhalt der Maske wird zuerst der Gruppentyp auf Sicherheit gestellt und natürlich auch ein passender Name vergeben. Im Anschluss sollte auch noch eine Beschreibung erstellt werden, damit die Gruppe im Nachgang auch eindeutig zugeordnet werden kann. Sollte direkt bei der Erstellung schon klar sein wer alles in diesem Verteiler enthalten sein soll, empfiehlt sich auch diese Personen direkt aufzunehmen.
Wofür nutze ich eine Sicherheitsgruppe
Wie zu beginn erwähnt kann ich mit einer Sicherheitsgruppe Berechtigungen und Zugänge steuern. Der Vorteil ist, dass nur Benutzer mit dieser Gruppe auch Zugriff auf meine Anforderung erhalten. Auch kann ich die Gruppe schnell öffnen und auslesen, wer alles zugriff darauf hat. Mit einem Mausklick können neue Benutzer hinzugefügt und wieder entfernt werden.
Wer mit Power Shell arbeitet, kann hier auch natürlich ein Skript bauen. Mit diesem können neue Mitarbeiter direkt eingesetzt werden. Verlässt ein Benutzer die Organisation und erlischt sein AD Benutzer, wird diese auch automatisch aus der Gruppe entfernt. Solange es ein einheitliches Konzept zur Namenskonvention gibt und sich die Admins an die Voraussetzungen des Gruppenbeitritt und -austritt halten, dürfte keine Chaos in einer Sicherheitsgruppe entstehen.
Verteilergruppen (Exchange Admin Center)
Was ist eine Verteilergruppe
Eine Verteilergruppe unterscheidet sich im Wesentlichen massiv von der Sicherheitsgruppe. Die Verteilergruppe finden wir auf unserem Exchange Server. In meinem System wäre diese des Exchange Online Admin Center. Vergleichbar mit dem lokalen Outlook wir im Admin Center auch eine Kontaktgruppe (in diesem Fall Verteilergruppe) erstellt, die mit einer Mailadresse und Mitglieder befüllt wird.
Füge ich nun Mitglieder hinzu oder entferne diese, wird auch wieder nach einigen Minuten der Empfang der Mails dieser speziellen Mailadresse freigegeben oder entzogen.
Verteilergruppe anlegen
Um eine Verteilergruppe anzulegen begeben wir uns auf unseren Exchange Server. Dort haben wir im Bereich der Empfänger, den Reiter Gruppen. Neben den Office365 Gruppen finden wir hier auch die Verteilergruppen.
Um die korrekte Gruppe zu erstellen, muss aus dem DropDown die Verteilerliste/Verteilergruppe ausgewählt werden. Dem Screenshot könnt ihr die Feldinhalte entnehmen, die entsprechend einzutragen sind.
Wofür nutze ich eine Verteilergruppe
Wieso sollte nun eine Verteilergruppe genutzt werden, wenn es doch auch eine Sicherheitsgruppe gibt? Dieses ist nicht pauschal zu beantworten und es gibt kein richtig oder falsch. Für mich ist die Nutzung von Verteilergruppen besser und angenehmer als die Sicherheitsgruppen. Hier hat jeder seine Vorlieben.
Es ist somit möglich alles im AD über die Sicherheitsgruppen zu steuern oder aber auch die reinen Mailverteiler auf dem Exchange Server zu belassen. Bei einer Kombination kann es später zu Zeit Verzögerungen kommen. Das heißt im Klartext, habe ich ein gemischtes System, muss der Admin immer im AD suchen und wenn er nicht fündig wir sucht er auf dem Exchange Server. Somit geht etwas Zeitverloren, wenn es um einen einzelnen Mitarbeiter geht, der hinzugefügt oder entfernt werden muss. Aber im Prinzip ist hier alles möglich. Strikt getrennt oder kombiniert.
Bei einer Trennung der Gruppe ist es ebenfalls möglich, die Admin nach Bereichen einzusetzen. Die Exchange Admins würden sich dann um die Verwaltung der Mailverteiler kümmern und die System Admin um die reinen AD Gruppen, in die der Mailverteiler dann nicht fallen würde.
Wie verhält es sich mit den Kontaktgruppen innerhalb von Outlook und den Verteilergruppen auf dem Exchange Server? Kurz und knapp, beide stehen für sich und werden voneinander nicht beeinflusst.
Erstell ich als End User meine eigene Kontaktgruppe in meiner Outlook Anwendung, dann habe nur ich Zugriff auf diese. Heißt somit auch dass ich diese selbst verwalte und dieses nicht über den Admin geschieht. Dieses gilt auch für Kontaktgruppe die innerhalb eines Servicekonto angelegt wurden oder eigene Verteiler die dem gesamten Adressbuch sichtbar gemacht werden.
Es bleibt somit, dass der Admin nur die Sicherheitsgruppen und Verteilergruppen administriert und der User seine eigen Kontaktgruppen.