So fügen Sie Domänenbenutzer zu den lokalen Administratoren in Windows hinzu

So verwalten Sie lokale Administratorberechtigungen auf Domänencomputern

Die Verwaltung lokaler Administratorrechte auf vielen Domänencomputern kann mühsam sein. Manuelle Anpassungen in Kombination mit Gruppenrichtlinienobjekten (GPOs) sind eine heikle Angelegenheit. Wenn Sie frustriert sind, weil bestimmte Benutzer Administratorrechte benötigen, das manuelle Hinzufügen auf jedem PC aber nicht praktikabel ist (oder schlimmer noch, die Berechtigungen ständig zurückgesetzt werden), ist dieser Leitfaden genau das Richtige für Sie. Wir zeigen Ihnen Methoden zur manuellen Zuweisung von Administratorrechten, über GPO-Einstellungen oder mit Hybridoptionen. Ziel ist es, Sicherheit zu gewährleisten und gleichzeitig genügend Flexibilität zu bieten, damit Ihr Helpdesk-Team oder Ihre Entwickler ihre Aufgaben erledigen können, ohne alles zu beeinträchtigen. Im Grunde geht es bei der Verwaltung lokaler Administratoren in einer Domänenumgebung um die Balance zwischen Sicherheit und Benutzerfreundlichkeit. Sie möchten, dass die richtigen Personen die richtigen Zugriffsrechte haben, ohne dass jeder Computer zum unübersichtlichen Ansammlungsort wird. Die Verwendung von GPOs mit Einstellungen oder eingeschränkten Gruppen ist in der Regel der beste Weg – bei korrekter Konfiguration bleiben die Einstellungen auch nach Neustarts erhalten. Manchmal müssen Sie jedoch nur einen Benutzer zu einem einzelnen Computer hinzufügen. Und ja, manchmal macht Windows Ihnen das unnötig schwer.—

So beheben Sie lokale Administratorrechte auf Domänencomputern

Einen Benutzer oder eine Gruppe manuell zur lokalen Administratorgruppe hinzufügen

Das ist zwar etwas altmodisch, aber manchmal die einzige Möglichkeit, wenn man nur auf wenigen Computern Zugriff benötigt. Wenn ein Computer einer Domäne beitritt, werden die Domänen-Admins automatisch der lokalen Administratoren-Gruppe hinzugefügt und die Domänenbenutzer der Benutzer-Gruppe. Benötigt jemand Administratorrechte, beispielsweise zur Fehlerbehebung, kann man auf dem betreffenden Computer ` lusrmgr.msc` öffnen, unter der Administratoren-Gruppe auf Hinzufügen klicken und das entsprechende Konto oder die Gruppe eingeben. Dies ist auch über die Befehlszeile möglich, was für die Skripterstellung auf mehreren Computern nützlich ist: `bash net localgroup administrators`Für PowerShell-Nutzer sieht das so aus: `powershell Add-LocalGroupMember -Group Administrators -Member ‚woshub\j.smith‘, ‚woshub\munWksAdmins‘, ‚wks1122\user1‘ -Verbose`.Um diese Gruppe remote auf mehreren Rechnern zu verteilen, ist `Invoke-Command` in PowerShell die beste Wahl: `powershell $computers = @(„PC001“, „PC002“, „PC003“) Invoke-Command -ComputerName $computers -ScriptBlock { Add-LocalGroupMember -Group Administrators -Member ‚woshub\munWksAdmins‘ }`.Beachten Sie jedoch: Das manuelle Hinzufügen von Benutzern kann schnell unübersichtlich werden. Für einmalige oder kleinere Gruppen ist das in Ordnung, aber bei größeren Projekten empfiehlt sich die Automatisierung.

Lokale Administratoren mithilfe von Gruppenrichtlinienpräferenzen verwalten – der flexibelste Weg

Das ist der ideale Ansatz – insbesondere, wenn Sie eine zentrale und dauerhafte Steuerung wünschen. Mit Gruppenrichtlinienpräferenzen (GPP) können Sie genau festlegen, wer in den lokalen Gruppen auf Ihren Domänencomputern Mitglied sein soll. So funktioniert es: – Sie fügen eine Domänengruppe (z. B.Helpdesk) der lokalen Gruppe „Administratoren“ auf allen Ziel-PCs hinzu.– Bei Bedarf können Sie die standardmäßigen lokalen Administratoren entfernen, sodass nur Ihre genehmigten Gruppen erhalten bleiben.– Sie können bestimmte Organisationseinheiten (OUs) oder Computer auswählen oder Filter anwenden, sodass nur bestimmte Computer die Änderungen erhalten. Erstellen Sie eine Sicherheitsgruppe in Active Directory (z. B.über PowerShell): powershell New-ADGroup munWKSAdmins -OU „OU=Groups, OU=Munich, OU=DE, DC=woshub, DC=com“ -GroupScope Global Add-ADGroupMember -Identity munWKSAdmins -Members amuller, dbecker, kfisher Öffnen Sie anschließend die Gruppenrichtlinienverwaltungskonsole, erstellen Sie ein neues Gruppenrichtlinienobjekt (GPO) und verknüpfen Sie es mit der richtigen OU. Dann: – Navigieren Sie zu „ Computerkonfiguration → Einstellungen → Systemsteuerung → Lokale Benutzer und Gruppen “.- Fügen Sie eine neue → lokale Gruppe hinzu.- Stellen Sie die Aktion auf Aktualisieren ein (damit vorhandene Mitglieder geändert werden).- Wählen Sie Administratoren (integriert) (auch wenn umbenannt, wird sie durch ihre bekannte SID „S-1-5-32-544“ identifiziert).- Klicken Sie auf Hinzufügen, um Ihre Domänengruppe (z. B.munWKSAdmins) hinzuzufügen. Optional können Sie Alle Mitgliedsbenutzer löschen und Alle Mitgliedsgruppen löschen aktivieren, um die Mitgliedschaft exakt an Ihre Gruppenrichtlinie anzupassen. Dadurch werden manuelle Hinzufügungen oder Löschungen entfernt. Führen Sie anschließend auf den Clientcomputern den Befehl `bash gpupdate /force` aus, um die Änderungen sofort anzuwenden. Sie können die Mitglieder unter „ Lokale Benutzer und Gruppen “ überprüfen, um sicherzustellen, dass nur Ihre Domänengruppe ohne weitere Einträge vorhanden ist.

Gewähren Sie einem einzelnen Benutzer Zugriff auf einen bestimmten Computer mithilfe von Element-Targeting.

Manchmal müssen Sie einen Benutzer nur auf einem einzelnen Computer zu den lokalen Administratoren hinzufügen – beispielsweise einen Entwickler oder einen externen Mitarbeiter. Anstatt für jeden Benutzer ein separates Gruppenrichtlinienobjekt (GPO) zu erstellen, verwenden Sie die Elementebenen-Zielgruppensteuerung in den Gruppenrichtlinieneinstellungen. In Ihrem bestehenden GPO „AddLocalAdmins“: – Wählen Sie in den Einstellungen für Lokale Gruppe die Option Aktualisieren.– Legen Sie den Gruppennamen auf Administratoren fest.– Fügen Sie unter Mitglieder den Benutzernamen hinzu.– Wechseln Sie zur Registerkarte Allgemein und dann zu Zielgruppensteuerung.– Klicken Sie auf Elementebenen-Zielgruppensteuerung und fügen Sie eine Bedingung hinzu, z. B.Computername gleich `mun—dev-wks24`.Dadurch wird diese Regel nur auf diesem spezifischen Computer angewendet. Achten Sie darauf, dass die Reihenfolge stimmt: Gruppenrichtlinien werden von oben nach unten verarbeitet. Die Reihenfolge bestimmt daher, welche Elemente bei Konflikten in den lokalen Gruppen landen.

Erstellen Sie für jeden PC eine eigene lokale Administratorgruppe.

Wenn Sie eine detailliertere Vorgehensweise bevorzugen, können Sie pro Maschine eine benutzerdefinierte Gruppe erstellen, wie zum Beispiel:_LocalAdmins`.Wenden Sie anschließend Gruppenrichtlinienobjekte (GPOs) an, die nur diese Gruppe den Administratoren auf diesem Computer zuweisen.- Verwenden Sie PowerShell, um die Domänengruppe zu erstellen: powershell $compname = „WKS25H2“ if (Get-ADComputer -Identity $compname -ErrorAction SilentlyContinue) { New-ADGroup „$compname`_LocalAdmins“ -OU „OU=Groups, OU=DE, DC=woshub, DC=com“ -GroupScope Global } – Verknüpfen Sie diese mit einem GPO, das diese Gruppe den lokalen Administratoren auf dem Zielcomputer hinzufügt. Das Hinzufügen von Benutzern ist so einfach wie das Hinzufügen zu dieser spezifischen Domänengruppe. Wenn ein neuer Administrator Zugriff benötigt, fügen Sie ihn einfach der Gruppe hinzu.Die Gruppe `_LocalAdmins` – keine Notwendigkeit mehr, Gruppenrichtlinienobjekte (GPOs) zu bearbeiten.

Verwaltung von eingeschränkten Gruppen – die altbewährte Methode

Dies ist eher eine ältere und weniger flexible Methode, aber manchmal notwendig. Sie legen genau fest, welche Gruppen oder Benutzer der lokalen Gruppe Administratoren angehören sollen: – Navigieren Sie in Ihrer Gruppenrichtlinie zu „ Computerkonfiguration -> Richtlinien -> Sicherheitseinstellungen -> Eingeschränkte Gruppen “.– Fügen Sie die Gruppe Administratoren hinzu.– Legen Sie fest, wer Mitglied sein soll, indem Sie Domänengruppen oder Benutzer hinzufügen.– Alle vorhandenen, nicht enthaltenen Mitglieder werden bei der nächsten Aktualisierung der Richtlinie entfernt. Warnung: Diese Methode setzt die Gruppenmitgliedschaft zwangsweise zurück und entfernt alle manuellen oder skriptbasierten Änderungen. Gehen Sie daher mit Vorsicht vor.

Zusammenfassung

  • Das manuelle Hinzufügen auf einzelnen Computern funktioniert zwar, ist aber nicht skalierbar.
  • Gruppenrichtlinienpräferenzen sind die flexibelste und zuverlässigste Methode zur domänenweiten Verwaltung.
  • Gezielte Gruppenrichtlinienobjekte (GPOs) helfen dabei, Administratorrechte nur dort zuzuweisen, wo sie benötigt werden.
  • Die Einrichtung dedizierter lokaler Gruppen pro PC vereinfacht die Aufgabenverteilung.
  • Ältere Optionen wie eingeschränkte Gruppen funktionieren zwar noch, sind heutzutage aber weniger beliebt.

Zusammenfassung

Die Kontrolle lokaler Administratorrechte auf Domänenrechnern erfordert die Kenntnis der richtigen Tools und deren Einsatzzeitpunkt. Manuelle Anpassungen sind zwar schnell, aber oft unübersichtlich – Gruppenrichtlinienobjekte (GPOs) bieten hingegen nach korrekter Einrichtung eine gute Kontrolle. Achten Sie dabei auf die Reihenfolge und die Zieloptionen. In manchen Konfigurationen scheinen die Berechtigungen hartnäckig zu sein, doch eine kurze Fehlersuche, beispielsweise mit dem Befehl `gpresult /h`, kann die Ursache finden. Hoffentlich trägt dieser Ansatz dazu bei, Ihre Umgebung sicher und funktionsfähig zu halten. Diese Vorgehensweise hat sich auf mehreren Rechnern bewährt.