QuickTip: Primäre Gruppen in Active Directory


Dieser Gastbeitrag wurde uns freundlicherweise vom Education Support Center zur Verfügung gestellt. Autor ist Sinja Herbertz.

Primäre Gruppen und ihre Tücken

Administratoren kennen Sie vielleicht - Die primären Gruppen. Im Active Directory wird jedem neu angelegten Benutzer standardmäßig die primäre Gruppe „Domain-Users“ zugewiesen. Diese primäre Gruppe kann aber auch ganz einfach geändert werden. Dass dies zu Problemen führen kann, werde ich mit Hilfe eines Beispiels deutlich machen.

Beispiel:

Ich habe einen neuen Benutzer angelegt, welchen ich Benutzer1 genannt habe. Dazu habe ich noch eine universale Sicherheitsgruppe erstellt, die in meinem Beispiel Gruppe1 heißt, in der Benutzer1 neben den Domain Users auch Mitglied ist. Jetzt wird im ADUC (Active Directory Users and Computers) unter dem Attribut memberOf in den Eigenschaften des Benutzer1 die Gruppenzugehörigkeit angezeigt. Unter anderem sieht man auch, dass Benutzer1 die Domain Users als primäre Gruppe hat.

Benutzer1_Properties

Die Gruppen Domain Users und Gruppe1 haben unter Members natürlich den Benutzer1 aufgelistet.

Gruppe1_Porperties

DU_properties

Soweit, so gut! Doch warum können die primären Gruppen zu einer gemeinen Falle werden? Das wird erst deutlich, wenn man mal einen Blick in einen LDAP-Browser wirft, wie z.B. ADSIedit. Hier schauen wir uns jetzt noch einmal die Gruppenzugehörigkeit des Benutzer1 an, sowie die Mitglieder der Gruppen Domain Users und Gruppe1. Jetzt sieht man, dass in den Eigenschaften des Benutzer1 unter dem Attribut memberOf ausschließlich die Gruppe Gruppe1 aufgelistet ist. Die Gruppe1 führt unter dem Attribut member auch den Benutzer1 auf. Genauso, wie man das erwarten würde.Die Gruppe Domain Users hingegen erscheint weder unter dem Attribut memberOf in Benutzer1 Eigenschaften noch ist Benutzer1 als member in der Gruppe Domain Users angezeigt. In der Gruppe Domain Users fehlt sogar das Attribut member.

ADSI-Benutzer1_properties

ADSI-Gruppe1_Properties

ADSI-DU_properties

Jetzt lüften wir das kleine Geheimnis. Der Benutzer1 wird doch in der Gruppe Domain Users als Mitglied identifiziert. Wie? Das geheime Attribut heißt primaryGroupToken! Wie man in den folgenden Bildern sehen kann, ist der Wert dieses Attributs 513. Und Benutzer1 weist unter dem Gegenattribut primaryGroupID den gleichen Wert auf.

ADSI-DUproperties_1

ADSI-Benutzer1_properties_1

Viele wissen nicht, dass das bei LDAP-Abfragen zu Problemen führen kann. Wenn der Exchange z.B. für dynamische Verteilerlisten Informationen aus dem AD auslesen möchte, dann geht das über eine LDAP-Abfrage. Wenn nun alle Mitglieder einer Gruppe gesucht werden müssen, geschieht das über das LDAP-Attribut member der Gruppe, oder eben über das Gegenattribut memberOf des Benutzers. Wie in dem oben beschriebenen Beispiel, wird die Gruppenmitgliedschaft aber nicht nur über diese Attribute ausgewertet, sondern eben auch in Form der "primären Gruppe". Daher kann es dazu kommen, dass über die LDAP-Abfrage nicht alle Benutzer gefunden werden. Eben genau die Benutzer nicht, die die zu durchsuchende Gruppe als primäre Gruppe eingetragen haben. Hier noch ein abschließendes Szenario, wo diese Tücke beispielsweise zu einem Fehler führt:

Das Szenario:

Für das Szenario lege ich noch einen weiteren Benutzer im AD an, der Benutzer2 heißt.

Benutzer2_Properties

Benutzer2 hat natürlich die Domain Users als primäre Gruppe, da ich diese beim Anlegen des Benutzers ja nicht manuell geändert habe. Dem Benutzer1 habe ich Gruppe1 als primäre Gruppe eingetragen. Im folgenden Bild sieht man, dass im Active Directory beide Benutzer als Mitglied der Gruppe1 angezeigt werden.

Gruppe1_PropertiesB2

Jetzt geht es an den Exchange. Hier lege ich nun eine dynamische Verteilerliste Verteiler_Gruppe1 an, die aus der universalen Sicherheitsgruppe Gruppe1 aus dem AD resultiert.

Verteiler_GR1

Ziel ist es jetzt, dass man an die Verteilerliste Verteiler_Gruppe1 E-Mails senden kann. Erwartungsgemäß sollte das jetzt funktionieren, denn Benutzer1 und Benutzer2 sind Mitglied der Gruppe1 und sollten dann auch beide eine E-Mail erhalten. Doch was passiert jetzt? Richtig, Benutzer1 erhält keine E-Mail, während Benutzer2 problemlos eine E-Mail zugestellt wird, wenn an den Verteiler gesendet wird. Warum? Die primäre Gruppe ist Schuld. In der Verteilerliste wird der Benutzer1 nicht mehr als Mitglied der Gruppe1 aufgeführt, da der Exchange sich die Informationen aus dem AD mittels einer LDAP-Abfrage holt. Und wie oben schon erwähnt, steht der Benutzer1 auf dem Exchange nicht als Mitglied der Gruppe1 drin, wenn er selbige Gruppe als primäre Gruppe konfiguriert hat.

EX-GR1-Prop

In meinem Beispiel ist das sehr überschaubar, da die Gruppe nur zwei Benutzer hat, und man leicht sehen kann, dass ein Benutzer in der Auflistung der Mitglieder in der Verteilergruppe fehlt. In größeren Organisationen mit mehreren hundert Mitgliedern in Gruppen kann das aber schnell untergehen und es fällt nicht auf, wenn ein Benutzer fehlt. Sollte es also vergleichbare Probleme geben, kontrollieren Sie die Einstellung der primären Gruppe!

Skip to main content