Erstellen der Richtlinie
von Eingeschränkten Gruppen

Vorwort
Wie Sie wahrscheinlich schon wissen, können Sie Computern Rechte zuweisen und hierzu sowohl die auf den einzelnen Computern als auch die im
Active Directory gespeicherten Gruppen verwenden. Es wäre allerdings schwierig, eine Gruppe namens "IT", die Sie im Active Directory als Mitglied
der lokalen Gruppe "Administratoren2 erstellt haben, auf jedem einzelnen Computer eines Unternehmens manuell hinzuzufügen. Zum Glück gibt
es aber Sicherheitsrichtlinien, mit denen Sie die Mitgliedschaft in lokalen Gruppen auf Domänenmitgliedscomputern steuern können.

Windows Server 2003 bietet eine Sicherheitsrichtlinien namens "Eingeschränkte Gruppen", die Ihnen die Steuerung der Gruppenmitgliedschaft
ermöglicht. Mithilfe der Richtlinie Eingeschränkte Gruppen können Sie die Mitgliedschaft einer Gruppe irgendwo in Ihrer Active Directory-Domäne angeben.
Sie können beispielsweise eine Richtlinie Eingeschrnäkte Gruppen erstellen, um den Zugriff auf eine Organisationseinheit zu beschränken, die Computer
mit vertraulichen Daten enthält. Die Richtlinie Eingeschränkte Gruppen würde Domänenbenutzer aus der lokalen Benutzergruppe entfernen und die Anzahl
der enutzer, die sich am Computer anmelden können, auf diese Weise beschränken. Gruppenmitglieder, die in der Richtlinie nciht angegeben sind, werden
entfernt, wenn die Gruppenrichtlinieneinstellung auf den Computer oder die Organisationseinheit angewandt oder aktualisiert wird. Die Einstellungen der
Richtlinie Eingeschränkte Gruppen umfasst zwei Eigenschaften: Mitglieder und Mitgliedschaft. Die Eigenschaft Mitglieder definiert, wer und wer nicht
zur eingeschränkten Gruppe gehört. Die Eigenschaft Mitgliedschaft legt die anderen Gruppen fest, zu denen die eingeschrnäkte Gruppe gehören kann.

Wenn eine Richtlinie Eingeschränkte Gruppen erzwungen wird, werden alle aktuellen Mitglieder einer eingeschränkten Gruppe, die nicht auf der Liste
Mitglieder stehen, entfernt.
Hierzu zählen auch Administratoren. Umgekehrt werden alle Benutzer der Liste Mitglieder, die derzeit nicht Mitglied der eingeschränkten Gruppe sind,
dieser hinzugefügt. Außerdem ist jede eingeschränkte Gruppe nur Mitglied der Gruppen, die in der Spalte Mitgliedschaft aufgeführt sind.

Sie können eine Richtlinie Eingeschränkte Gruppe wie folgt anwenden:
Die Sicherheitseinstellung befindet sich inei nem Sicherheitsrichtlinienobjekt im Knoten "Eingeschränkte Gruppen

Definieren Sie die Richtlinie in einer Sicherheitsvorlage, die während der Konfiguration auf Ihrem lokalen Computer angewendet wird.
Definieren Sie die Einstellung direkt in einem Gruppenrichtlinienobjekt. Wenn Sie die Einstellung auf diese Weise definieren, ist sichergestellt, dass
das Betriebssystem die eingeschränkten Gruppen jederzeit durchsetzt.

Gehen Sie wie folgt vor, um eine Richtlinie Eingeschränkte Gruppen zu erstellen:

1. Öffnen Sie ein Sicherheitsrichlinienprogramm wie etwa die Konsole Sicherheitsrichtlinie für Domänen.
   
2. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Eingeschränkte Gruppen und klicken Sie dann auf Gruppe hinzufügen.
   
3. Tragen Sie in das Feld Gruppe den Namen der Gruppe ein, für die Sie die Mitgliedschaft einschränken wollen, und klicken Sie dann auf OK.
   
4. Klicken Sie nun im Dialogfeld Eigenschaften auf die Schaltfläche Hinzufügen neben dem Feld Diese Gruppe ist Mitglied von.
   
5. Tragen Sie unter Gruppenmitgliedschaft den Namen der Gruppe ein, die Sie dieser Gruppe hinzufügen wollen, und klicken Sie dann auf OK.
   
6. Klicken Sie erneut auf OK.
   

Erstellt von: Haßlinger Stefan
Im: Jahr 2006