Tags: Gruppenrichtlinien, Rechteverwaltung
Während sich Benutzer und Gruppen im Active Directory über verschiedene Tools an einer Stelle verwalten lassen, speichert jeder Windows-PC seine lokalen Konten in einer eigenen SAM-Datenbank. Nachdem lokale Benutzer auch dann wichtig sind, wenn der Rechner in einer Domäne ist, benötigen Administratoren die Möglichkeit, diese zentral zu verwalten. Die Gruppenrichtlinien stellen dafür zwei Mechanismen zur Verfügung.
Die größte Notwendigkeit für das Management lokaler Gruppen gibt es offensichtlich bei jener der Administratoren. Benutzer, die über solche Privilegien und über ausreichende Kenntnisse verfügen, können fast alle zentralen Vorgaben aushebeln. Aber bei der Verwaltung der lokalen Administratoren geht es nicht nur darum, unberechtigte Benutzer aus dieser Gruppe zu entfernen.
Benutzer in lokale Gruppen aufnehmen
Vielmehr kann umgekehrt die Anforderung bestehen, bestimmte User mit solchen Rechten auszustatten. Beim Beitritt zu einer Domäne werden zwar automatisch die Domänen-Admins in die Gruppe der lokalen Administratoren aufgenommen, aber andere User, die diese Rechte eventuell auch benötigen, kommen nicht in ihren Genuss. In diesem Fall müssten sie nachträglich in diesen illustren Kreis aufgenommen werden.
Eine weitere Anwendung ergibt sich beispielsweise, wenn normale Benutzer eine Remotedesktop-Verbindung zu bestimmten PCs aufbauen möchten. Wenn sie dort nicht Mitglied der Gruppe Remotedesktopbenutzer sind, dann scheitert der Zugriff aus Mangel an Rechten. Auch dieser Zustand lässt sich für eine größere Zahl an PCs zentral durch GPOs ändern.
Variante 1: Eingeschränkte Gruppen
Mit Hilfe von Eingeschränkte Gruppen lässt sich zuverlässig steuern, welche Mitglieder eine lokale Gruppe haben darf und in welche Gruppen sie selbst aufgenommen werden soll. Die Einstellung findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen.
Der Befehl Gruppe hinzufügen öffnet einen Dialog, in den man den Namen einer lokalen Gruppe eingibt. Um diesen zu ermitteln, kann man die SAM-Datenbank des lokalen PCs durchsuchen. Anschließend stehen zwei Eingabefelder zur Verfügung, über die man definieren kann, welche Mitglieder die Gruppe haben und wo sie selbst Mitglied sein soll.
Wenn man dieses Feature nutzt, dann gleicht es auf den betroffenen PCs die Mitglieder der Gruppen exakt mit den Einträgen im GPO ab. Das bedeutet, dass alle User, die nicht im GPO aufgeführt sind, automatisch aus den Gruppen entfernt werden, während es die anderen beibehält oder hinzufügt.
Variante 2: Group Policy Preferences
Die Einstellung Lokale Benutzer und Gruppen unter Computerkonfiguration => Einstellungen => Systemsteuerungseinstellungen bietet die Möglichkeiten von Eingeschränkte Gruppen plus einige zusätzliche Optionen.
Mit dem Befehl Neu => Lokale Gruppe lassen sich die Mitglieder von Benutzergruppen verwalten. Über die vorhandenen Checkboxen kann man alle in einer Gruppe enthaltenen Benutzer sowie Gruppen entfernen. Alternativ bietet sich die Möglichkeit, bestimmte Benutzer explizit zu einer Gruppe hinzuzufügen oder daraus zu löschen. Darüber hinaus lassen sich Gruppen anlegen, umbenennen und entfernen.
Zu diesem Zweck stehen die für Group Policy Preferences (GPP) typischen Aktionen Erstellen, Ersetzen, Aktualisieren und Löschen zu Verfügung. Das voreingestellte Aktualisieren bringt die Liste der Mitglieder auf den neuesten Stand oder legt eine nicht existierende Gruppe an. Die bestehende Konfiguration, also bereits eingetragene Konten, sind davon nicht betroffen. Ersetzen dagegen löscht eine vorhandene Gruppe und legt sie gemäß den Einstellungen im GPO neu an. Erstellen und Löschen wirken sich nur auf die Gruppe als Ganzes aus.
Die GPP erlauben nicht nur das Management von lokalen Gruppen, sondern auch von lokalen Benutzerkonten. So sehen sie etwa das Anlegen, Löschen und die Konfiguration aller gängigen Einstellungen wie zum Beispiel der Passwort-Policies vor. Dieses Feature eignet sich sehr gut, um das eingebaute Administratorkonto zu aktivieren und zu deaktivieren.
Neben dem einem größeren Funktionsumfang von Lokale Benutzer und Gruppen bieten die GPP einen weiteren Vorzug: Wie bei allen anderen Einstellungen lassen sich GPOs mit Hilfe von Item Level Targeting (Zielgruppenadressierung) viel genauer auf bestimmte PCs anwenden als mit den herkömmlichen Richtlinien.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- NTFS-Berechtigungen über Gruppenrichtlinien anpassen
- Health Report erstellen für Local Administrator Password Solution (LAPS)
- Lösungen für GPO-Probleme nach Update MS 16-072 bzw. KB3163622
- Herunterfahren von Windows mittels GPO verbieten
- LAPS: Lokale Administrator-Passwörter zentral verwalten mit GPOs
Weitere Links
4 Kommentare
Guten Tag
Besteht die Möglichkeit mit "Eingeschränkte Gruppen", Usern Adminrechte für die jeweilige GPO zu verteilen?
Ich möchte Usern die Schriften installieren müssen, mit einem .bat File, welches in der GPO definiert ist, Adminrechte geben aber nur für diese GPO ansonsten sollten sie keine Adminrechte haben.
Freundliche Grüsse
Zeljko
Wenn ich Ihr Problem richtig verstanden habe, dann ist es ein Fall für Tools wie ASAP.
Bedeutet das, dass man Windows Rechnern keine Installations-Rechte für Fonts verteilen kann, ohne dass diese Admin sind, bzw. es braucht Software von Drittanbietern?
Denn hier im folgenden Artikel wird das Problem anscheinend gelöst (der Verfasser hat dasselbe Problem wie ich, ich habe es jedoch noch nicht hingekriegt)
--> https://community.spiceworks.com/topic/133185-how-can-a-standard-user-in...
Ich freue mich auf Feedback
> Um diesen zu ermitteln, kann man die SAM-Datenbank des lokalen PCs durchsuchen.
Dieser wichtige Punkt sollte erläutert werden. Ich habe mit dem Detail noch nie zu tun gehabt und suche mir gerade einen Wolf.