Eine Benutzerdomäne ist ein normaler Benutzer, der bei der täglichen Arbeit verwendet wird, um in einen Computer einzudringen und normale Arbeiten auszuführen. Diese Benutzer haben keine besonderen Berechtigungen, die zu Schäden oder Datenverlusten führen können. Diese Konten sind in der Regel Mitglieder der Sicherheitsgruppe Domänenbenutzer.
Unter bestimmten Bedingungen sind diese Beschränkungen sehr lästig. Wenn sie z. B. einen Drucker oder eine Anwendung auf dem von ihnen benutzten Computer installieren wollen, haben sie (die Benutzerdomäne) keine Berechtigung dazu.
Um einen Domänenbenutzer zu einem lokalen Administrator zu machen, können wir GPO (Gruppenrichtlinienobjekte) auf dem Domänencontroller verwenden. Wie Sie einen Domänencontroller erstellen können, erfahren Sie in Windows Server 2019 Promotion als Domänencontroller.
Die Schritte zur Einrichtung einer Benutzerdomäne als lokaler Administrator mit GPO sind wie folgt.
A. Erstellen Sie eine Sicherheitsgruppe
- Klicken Sie im Server Manager >> Dashboard auf Tools und wählen Sie Active Directory Users and Computers.
- Als Nächstes erstellen Sie eine Sicherheitsgruppe. Klicken Sie auf Benutzer, dann mit der rechten Maustaste und wählen Sie Neu und dann Gruppe aus.
- Geben Sie der Gruppe dann einen Namen, z. B. Lokaler Administrator, und klicken Sie auf die Schaltfläche OK.
- Fügen Sie Mitglieder hinzu, indem Sie auf Lokaler Administrator doppelklicken, dann die Registerkarte Mitglieder auswählen und auf die Schaltfläche Hinzufügen klicken. Als Nächstes fügen Sie Benutzer hinzu, die als lokale Administratoren auf dem Computer, den sie verwenden, berechtigt sind, z. B. Benutzer Test 01 und Benutzer Test 02. Klicken Sie dann auf die Schaltfläche OK.
Weitere interessante Artikel
B. Erstellen von GPOs (Gruppenrichtlinienobjekten)
- Klicken Sie im Server Manager >> Dashboard auf Tools und wählen Sie Gruppenrichtlinienverwaltung.
- Klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte, und wählen Sie dann Neu.
- Erstellen Sie einen GPO-Namen, z. B. Local Admn GPO.
- Klicken Sie mit der rechten Maustaste auf Local Admin GPO (GPO-Name in Schritt 3), und wählen Sie dann Bearbeiten.
- Klicken Sie mit der rechten Maustaste auf ComputerkonfigurationRichtlinienWindows-EinstellungenSicherheitseinstellungenEingeschränkte Gruppen, und wählen Sie Gruppe hinzufügen.
- Klicken Sie dann auf Durchsuchen und fügen Sie eine zuvor erstellte Benutzer-Sicherheitsgruppe (Local Admin) hinzu und klicken Sie zweimal auf OK.
- Klicken Sie dann auf Hinzufügen bei Diese Gruppe ist Mitglied von: und klicken Sie auf Durchsuchen und fügen Sie die Gruppe Administrator und Remote Desktop Users hinzu. Was Sie beim Hinzufügen einer Gruppe beachten müssen, ist, dass die Gruppe existieren und mit der lokalen Gruppe auf dem Zielcomputer übereinstimmen muss. Wenn Sie z. B. „Admins“ hinzufügen, sollte auf dem lokalen Zielcomputer ebenfalls eine Gruppe mit dem Namen „Admins“ vorhanden sein.
- Öffnen Sie erneut die Gruppenrichtlinienverwaltung. Klicken Sie mit der rechten Maustaste auf den Domänennamen (bardimin.local) und wählen Sie Verknüpfen Sie ein vorhandenes GPO.
- Wählen Sie Local Admin GPO und klicken Sie auf OK.
- Melden Sie sich auf einem PC, der in eine Domäne eingebunden ist, mit dem Benutzer an, den Sie oben in der seltenen Sicherheitsgruppe 4 erstellt haben. Öffnen Sie die CMD und führen Sie den Befehl gpupdate /force aus. Überprüfen Sie, ob der Benutzer bereits die Berechtigung als Administrator auf dem PC hat.