Wenn lokale Administratoren verschwinden…
Ein mysteriöses Problem beschäftigte einen unserer Leser in der letzten Woche. Er hat als Administrator eine vorhandene Windows-Domäne übernommen und ein Problem bei der Einrichtung von lokalen Administratoren auf den Clients: Nach einem Neustart waren die hinzugefügten Benutzer wieder aus der Gruppe der lokalen Administratoren verschwunden.
Für die Rechtevergabe gibt es in Windows-Domänen eine nützliche Hilfe: Die Gruppenrichtlinie „Eingeschränkte Gruppen” unter „Computerkonfiguration” -> „Windows-Einstellungen” -> „Sicherheitseinstellungen”. Hiermit lassen sich auf den Domänen-Computern Mitglieder zu den lokalen Benutzergruppen hinzufügen. Wird ein Domänen-Benutzerkonto nicht über diese Richtlinie gezielt in eine lokale Gruppe aufgenommen, ist sie automatisch nur Mitglied der Gruppe „Benutzer”.
Der Haken an der Sache folgt auf dem Fuße: Die Benutzerkonten, die in der Gruppenrichtlinie definiert werden, ergänzen die Mitglieder der lokalen Gruppen der Computer nicht, sie ersetzen sie. Hier fand sich auch die Ursache für das Problem unseres Lesers: Die lokalen Administratoren waren über die eingeschränkten Gruppen definiert. Alle lokal hinzugefügten Mitglieder der Gruppe wurden hierdurch wieder entfernt, sobald die Gruppenrichtlinie angewendet wurde (z.B. durch einen Neustart oder in den Standardeinstellungen nach ca. 90 Minuten).
Bei der Benutzung dieser Richtlinie sollte man übrigens immer darauf achten, seinen Domänenadministratoren nicht die lokalen Administrationsrechte auf den Clients zu entziehen 
- Weitere interessante Beiträge im Blog:
- Microsoft kapituliert und deaktiviert SNP: Das Scalable Network Pack bringt zu viele Probleme in die Windows-Netzwerke
- Fenster außerhalb des Sichtbereichs: So bekommen Sie Ihre Daten wieder auf den Bildschirm
