Eingeschränkte Gruppen - zwei grundlegende Fragen
Guten Morgen,
Ich hab zwei Fragen zum Umgang mit der Funktion eingeschränkten Gruppen in den Gruppenrichtlinien.
Die Anleitung von http://www.gruppenrichtlinien.de/index.html?/howto/Zentrale_Vergabe_lok ... finde ich sehr gut und ausführlich erklärt.
Allerdings bleiben für mich zwei Fragen offen:
1. Es geht um das Beispiel 3 um den letzen Satz:
Hier wird von einer "lokalen Gruppe" und einer "Domänengruppe" geredet.
Lieg ich richtig damit das mit einer "lokalen Gruppe" eine lokale (in Domäne) Gruppe gemeint ist?
Und mit "Domänengruppe" einfach eine globale Gruppe?
Das heist dann wenn ich einen Rechner habe in dem ein Benutzer zur lokalen Gruppe Administratoren gehört, bleibt er trotz der anwendung der eingeschränkten Rechte in dieser Gruppe und die Benutzer aus der hinzugefügten Gruppe werden einfach hinzugefügt?
2. Was passiert wenn ich die eingeschränkten Gruppen wieder entferne?
Werden dann automatisch wieder die Grundeinstellungen hergestellt?
Oder bleiben die Rechte dann einfach leer?
Vielen Dank schonmal im Vorraus und noch einen schönen Tag
Sebastian
Ich hab zwei Fragen zum Umgang mit der Funktion eingeschränkten Gruppen in den Gruppenrichtlinien.
Die Anleitung von http://www.gruppenrichtlinien.de/index.html?/howto/Zentrale_Vergabe_lok ... finde ich sehr gut und ausführlich erklärt.
Allerdings bleiben für mich zwei Fragen offen:
1. Es geht um das Beispiel 3 um den letzen Satz:
Hier wird von einer "lokalen Gruppe" und einer "Domänengruppe" geredet.
Lieg ich richtig damit das mit einer "lokalen Gruppe" eine lokale (in Domäne) Gruppe gemeint ist?
Und mit "Domänengruppe" einfach eine globale Gruppe?
Das heist dann wenn ich einen Rechner habe in dem ein Benutzer zur lokalen Gruppe Administratoren gehört, bleibt er trotz der anwendung der eingeschränkten Rechte in dieser Gruppe und die Benutzer aus der hinzugefügten Gruppe werden einfach hinzugefügt?
2. Was passiert wenn ich die eingeschränkten Gruppen wieder entferne?
Werden dann automatisch wieder die Grundeinstellungen hergestellt?
Oder bleiben die Rechte dann einfach leer?
Vielen Dank schonmal im Vorraus und noch einen schönen Tag
Sebastian
Comment
Share
Share on Facebook
Share on X (Twitter)
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 137268
Url: https://administrator.de/forum/eingeschraenkte-gruppen-zwei-grundlegende-fragen-137268.html
Printed on: May 18, 2025 at 09:05 o'clock
22 Comments
Latest comment
Moin,
meist ist eine lokale Gruppe auf den jeweiligen Server eingerichtet worden.
Nach Löschung von Rechten fehlen diese einfach, da gibt es keinen Automatismus, der irgendwas wiederherstellt - sind ja nur wissende Menschen, die wissen, was sie tun *g*
Gruß
24
meist ist eine lokale Gruppe auf den jeweiligen Server eingerichtet worden.
Nach Löschung von Rechten fehlen diese einfach, da gibt es keinen Automatismus, der irgendwas wiederherstellt - sind ja nur wissende Menschen, die wissen, was sie tun *g*
Gruß
24
Nachtrag:
Ich glaub ich mach besser mal ein Beispiel was ich vorhabe:
Ziel: IT-Mitarbeiter Adminrechte auf allen Rechner in der Domäne gewähren
Bisherige Vorstellung:
Eine Gruppe im Active Directory erstellen (Bsp.: LokaleAdmins), dieser Gruppe die entsprechenden IT-Mitarbeiter hinzufügen.
Diese Gruppe mit Hilfe der eingeschränkten Rechte der lokalen (auf den einzelnen Rechner vorhandenen Gruppe) Administratoren hinzufügen.
Damit soll erreicht werden das die entsprechenden IT-Mitarbeiter zwar auf den Rechner volle Adminrechte haben, aber keine Rechte in der Domäne (also Gruppen/Benutzer erstellen im Active Directory) haben.
Ist dies so Umsetzbar?
Hierfür würde ich dann einfach die Gruppen LokaleAdmins und Domänen-Admins aus dem AD der lokalen Gruppe Administratoren hinzufügen, geht das so?
Wie kann ich erreichen das die schon vorhandenen lokalen Gruppen nicht überschrieben werden sondern die neu hinzugefügen Gruppen einfach nur "drangehängt" werden?
Hoffe es ist klar was ich erreichen will ;)
PS: noch eine weitere Frage: Kann ich auch einer selbst erstellen lokalen Gruppe auf einem Rechner via eingeschränkten Rechten eine Gruppe aus dem AD zuweisen?
Ich glaub ich mach besser mal ein Beispiel was ich vorhabe:
Ziel: IT-Mitarbeiter Adminrechte auf allen Rechner in der Domäne gewähren
Bisherige Vorstellung:
Eine Gruppe im Active Directory erstellen (Bsp.: LokaleAdmins), dieser Gruppe die entsprechenden IT-Mitarbeiter hinzufügen.
Diese Gruppe mit Hilfe der eingeschränkten Rechte der lokalen (auf den einzelnen Rechner vorhandenen Gruppe) Administratoren hinzufügen.
Damit soll erreicht werden das die entsprechenden IT-Mitarbeiter zwar auf den Rechner volle Adminrechte haben, aber keine Rechte in der Domäne (also Gruppen/Benutzer erstellen im Active Directory) haben.
Ist dies so Umsetzbar?
Hierfür würde ich dann einfach die Gruppen LokaleAdmins und Domänen-Admins aus dem AD der lokalen Gruppe Administratoren hinzufügen, geht das so?
Wie kann ich erreichen das die schon vorhandenen lokalen Gruppen nicht überschrieben werden sondern die neu hinzugefügen Gruppen einfach nur "drangehängt" werden?
Hoffe es ist klar was ich erreichen will ;)
PS: noch eine weitere Frage: Kann ich auch einer selbst erstellen lokalen Gruppe auf einem Rechner via eingeschränkten Rechten eine Gruppe aus dem AD zuweisen?
Ja, das ist so umsetzbar. Die Domänenadmins sind eh in der Gruppe der lokalen Admins, die brauchen nicht erneut rein. Auch Deine letzte Frage ist möglich. Nimm Dir eine Test-OU und führ's durch - so sind Missverständnisse schnell ausgeräumt.
Hab ein kleines Problem:
Wenn ich das Snaping mit gpedit.msc starte und unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen bin, hab ich keinen Order "Eingeschränkte Gruppen", woran kann das liegen?
Wenn ich das Snaping mit gpedit.msc starte und unter Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen bin, hab ich keinen Order "Eingeschränkte Gruppen", woran kann das liegen?
Du musst das am Domänencontroller machen und nicht über gpedit.msc, sondern über die gpmc.
Hallo,
Ich bin auf dem Domänencontroller, wenn ich allerdings gpmc.msc öffne, hilft mir das nicht weiter, da ich hier auch keine "Eingeschränkten Gruppen" finden.
Ich bin auf dem Domänencontroller, wenn ich allerdings gpmc.msc öffne, hilft mir das nicht weiter, da ich hier auch keine "Eingeschränkten Gruppen" finden.
Hast Du mehrere DCs? Ich kenne das Phänomen (->es fehlt etwas unter Sicherheitseinstellungen) genau dann, wenn man zwei hat und der eine nicht erreichbar ist.
Ja, wir haben zwei DCs laufen!
Ich bin mir eigentlich auch sicher das dich die Option vor kurzem noch auf einem der beiden DCs gesehen hab, aber jetzt ist es nichtmehr auffindbar, weist du wie man das lösen kann?
Danke schonmal für die Hilfe
Ich bin mir eigentlich auch sicher das dich die Option vor kurzem noch auf einem der beiden DCs gesehen hab, aber jetzt ist es nichtmehr auffindbar, weist du wie man das lösen kann?
Danke schonmal für die Hilfe
Versuch es zunächst mal auf dem anderen DC. Bei mir löste es sich von alleine, nachdem der andere DC wieder erreichbar war (er war nicht erreichbar, da nur zu Testzwecken vorhanden in einer vmware Testdomäne). Keine weitere Idee.
also irgendwie komm ich damit nicht wirklich weiter.
Die Option Eingeschränkte Gruppen ist nirgends zu finden.
Trotzdem auf jeden Fall viele Dank für die Hilfe, vielleicht weis ja noch jemand anders Rat
Gruß Seb
Die Option Eingeschränkte Gruppen ist nirgends zu finden.
Trotzdem auf jeden Fall viele Dank für die Hilfe, vielleicht weis ja noch jemand anders Rat
Gruß Seb
Guten Morgen liebe Gemeinde,
Da ich immer noch nicht weiter weis, wende ich mich nochmal an euch und hoffe das jemand einen kleinen Tipp hat.
Der Stand:
Wir haben zwei DCs laufen (Windows 2003 R2 Enterprise Edition mit SP2).
In der MMC in der man die Option "Eingeschränkte Gruppen" finden sollte, ist nichts zu sehen.
Weis jemand woran das liegen könnte?
Danke schonmal und eine schöne Woche
Sebastian
Da ich immer noch nicht weiter weis, wende ich mich nochmal an euch und hoffe das jemand einen kleinen Tipp hat.
Der Stand:
Wir haben zwei DCs laufen (Windows 2003 R2 Enterprise Edition mit SP2).
In der MMC in der man die Option "Eingeschränkte Gruppen" finden sollte, ist nichts zu sehen.
Weis jemand woran das liegen könnte?
Danke schonmal und eine schöne Woche
Sebastian
Lad nochmal einen Screenshot der mmc hoch.
öhm...doofe Frage, aber wie kann ich hier ein Screenshot hochladen?
Du musst Deinen ersten Beitrag editieren - dort gibt's die Option Bilder hinzufügen.
Ah ok, wieder was gelernt! ;) Danke
So, das Bild hab ich oben eingefügt, hoffe es hilft weiter
So, das Bild hab ich oben eingefügt, hoffe es hilft weiter
Guten Morgen,
Ich schieb das Thema nochmal hoch da es wirklich wichtig ist!
Weis jemand woran es liegen könnte das die Option "Eingeschränkte Gruppen" bei uns nicht verfügbar ist?
Ich schieb das Thema nochmal hoch da es wirklich wichtig ist!
Weis jemand woran es liegen könnte das die Option "Eingeschränkte Gruppen" bei uns nicht verfügbar ist?
Dein Screenshot zeigt, dass Du gpedit.msc und nicht die GPMC verwendest - bitte mach einen Screenshot der GPMC.
Hallo,
Sorry, hab nun den richtigen Screenshot eingefügt!
Sorry, hab nun den richtigen Screenshot eingefügt!
Nein, hast Du nicht ;)
Füg bitte einen Screenshot der Stelle ein, um die es geht.
Füg bitte einen Screenshot der Stelle ein, um die es geht.
Hm...sorry wenn ich mich bissel blöd anstell....aber welche Stelle wäre das denn? 
Die Stelle, wo Du die eingeschränkten Gruppen erwarten würdest. Also Policy öffnen, um die es geht und dort zu Comp.-Konfig - Policies - Windowsesinstellungen - Sicherheitseinstellungen
Guten Tag,
So das Problem wäre gelöst, dank der geduldigen Hilfe von DerWoWusste,
Herlichen Dank nochmal!
Gruß
Sebastian
So das Problem wäre gelöst, dank der geduldigen Hilfe von DerWoWusste,
Herlichen Dank nochmal!
Gruß
Sebastian