Lokale Gruppenmitgliedschaften in der Domäne zentral steuern

Autor: Claus Greck [MVP], MCSEboard.de

Immer wieder taucht das Problem auf, dass bestimmte Benutzer oder Domänengruppen zum Mitglied lokaler Gruppen auf den Clients gemacht werden müssen. Manuell lässt sich das auf dem Client über die Computerverwaltung/Lokale Benutzer und Gruppen sehr einfach bewerkstelligen. Soll die lokale Gruppenmitgliedschaft aber auf vielen Clients in der Domäne hergestellt werden, kann man dies über zentrale Gruppenrichtlinien regeln. Die entsprechende Richtlinie findet sich unter "Computerkonfiguration/Sicherheitseinstellungen/Eingeschränkte Gruppen".

Die grundsätzliche Vorgehensweise wird am Beispiel der lokalen Administratorengruppe veranschaulicht: Die Globale Gruppe der Domäne G-LocalAdmins soll auf allen Clients der eingerichteten OU Home Mitglied in der lokalen Administratorengruppe werden.

Voraussetzungen:
- Active Directory Domäne 2000 oder 2003
- Clients mit Windows 2000 oder höher


Abb. 1

1.  Schritt: Neue Richtlinie anlegen und auf Bearbeiten klicken
2.  Schritt: Rechtsklick auf Eingeschränkte Gruppe, Gruppe hinzufügen auswählen

Abb. 2

3.  Schritt: Durchsuchen anklicken
4.  Schritt: Gewünschte lokale(!) Gruppe auswählen und mit Hinzufügen und anschließendem OK in das Auswahlfenster übernehmen

Abb. 3

5.  Schritt: Die Auswahl mit OK abschließen. Im rechten Fenster die eingeschränkte Gruppe doppelklicken.

Abb. 4

6.  Schritt: Auf Hinzufügen klicken, um Mitglieder der eingeschränkten Gruppe hinzuzufügen
7.  Schritt: Mit Durchsuchen den/die Benutzer/Gruppen auswählen, die Mitglied in der lokalen Gruppen werden soll

Abb. 5

8.  Mit OK die Auswahl abschließen. Wenn alles fertig ist, sieht es in unserem Beispiel so aus wie auf dem nächsten Bild. Die Globale Gruppe G-LocalAdmins ist der eingeschränkten lokalen Gruppe Administratoren hinzugefügt worden.

Was bedeutet das jetzt ganz praktisch?  
Immer dann, wenn der Client die Gruppenrichtlinie der Domäne übernimmt, stellt er die lokale Gruppenmitgliedschaft so her, wie es in der Gruppenrichtlinie mit der Eingeschränkten Gruppe angegeben ist.  
 
Was ist zu beachten?
Besonderes ist zu beachten,wenn man die lokale Administratorengruppe über solch eine Gruppenrichtlinie mittels eingeschränkten Gruppen verwalten will: Standardmäßig ist in der Domäne auf jedem Client die Globale Gruppe der Domänen-Admins in der lokalen Gruppe der Administratoren Mitglied. Das gewährt jedem Domänen-Admin administrative Berechtigung auf jedem Client. In dem oben dargestellten Beispiel, das ganz bewusst so dargestellt wurde, wird nur die selbst erstellte Globale Gruppe G-LocalAdmins in die lokale Administratorengruppe hinzugefügt. Die Globale Gruppe Domänen-Admins ist hier nicht
aufgeführt. Deshalb entfernt die Richtlinie diese Gruppe aus der lokalen Administratorengruppe!

Abb. 6

Man muss diese also extra in der Richtlinie hinzufügen. Das Vorgehen ist das selbe wie oben beschrieben. Im nächsten Screenshot (Abb. 6) ist das Ergebnis zu sehen. Hier sind deutlich beide Gruppen als Mitglied zu erkennen.

Ich will die Hauptbenutzer als eingeschränkte Gruppe verwalten, kann diese aber auf dem Domänencontroller nicht auswählen?
Das ist normal, denn auf Domänencontrollern gibt es keine Gruppe Hauptbenutzer. Man kann diese deshalb im Schritt 4 nicht auswählen. Das macht nichts, man gibt dann im Fenster "Mitglied hinzufügen" einfach die Bezeichnung Hauptbenutzer manuell ein, und fährt dann mit Schritt 5 fort.  
 
Ich habe die Eingeschränkte Gruppe eingerichtet und es auf dem Client gleich getestet, aber es geht nicht!
Die neue Richtlinie muss erst auf dem Domänen Controller als neue Richtlinie erkannt werden, bevor er sie an einen Client heraugeben kann. Entweder wartet man maximal ca. 5 Minuten bei Windows 2000 (2003 Domäne: 15 Sekunden) oder man forciert das unter Windows 2000 mit dem Befehl secedit /refreshpolicy machine_policy /enforce oder gpupdate.exe (XP und 2003 Server). Bei mehreren Domänen Controllern muss man erst die Replikation abwarten oder manuell replizieren. Allerdings sind jetzt erst die Domänen Controller aktuell, was die Richtlinien angeht. Vor dem Test auf dem Client muss dieser auch die Änderung mitbekommen. Der Client überprüft Richtlinien auf Änderungen alle 90 Minuten plusminus einer zufälligen Dauer von 30 Minuten. Auch hier kann man das mit den oben angegebenen Befehlen auf dem Client beschleunigen, secedit /refreshpolicy machine_policy /enforce  bei einem Windows 2000 Client oder gpupdate.exe bei Windows XP und 2003 Server.

© MCSEBoard.de, Claus Greck [MVP]