Die Einstellungen beziehen sich nicht nur auf lokale Administratoren, es kann auch jede andere Gruppe verwendet oder konfiguriert werden, es können auch neue Gruppen erstellt werden und diese Gruppen mit speziellen Berechtigungen versehen werden. Ich muss dieses Thema auch abgrenzen, in einem kleinen Netzwerk gibt es auch nicht so viele Gruppen und verantwortliche.
Der Testaufbau wurde durchgeführt mit:
- Synology DSM 7.0-41890
- Synology Directory Server 4.10.18-0300
Die Gruppe „Administratoren“ möchte ich auf dem Client bearbeiten und Domainen-Benutzer hinzufügen.
Die Benutzer und Computerverwaltung mit einem berechtigten Benutzer ausführen
Eine neue Gruppe erstellen und den Benutzer hinzufügen der in die Gruppe „Administratoren“ hinzugefügt werden soll, auf die Gruppenbereiche oder Gruppentypen gehe ich hier nicht ein.
Die Gruppenrichtlinienverwaltung mit einem berechtigten Benutzer ausführen
Gruppenrichtlinie erstellen, in meinem Beispiel ist es lokale-Administratoren
Unter Computerkonfiguration –> Einstellungen –> Systemsteuerungseinstellungen –> Lokale Benutzer und Gruppen –> Neu –> Lokale Gruppe
Ich habe mich in meinem Beispiel dafür entschlossen nur die Gruppe zu aktualisieren, damit werden die Benutzer oder Gruppen in der Gruppe nicht überschrieben oder gelöscht. Diese Einstellung sollte für einen Test verwendet werden damit ich mich nicht aussperre. Es sollten auch keine Haken bei „Alle Mitgliederbenutzer löschen“ oder „Alle Mitgliedergruppen löschen“ gesetzt werden. Diese Einstellung kann ich später ändern wenn alle Tests erfolgreich gewesen sind.
Einstellungen
Erstellen | eine neue Gruppe erstellen |
Ersetzen | die Gruppe ersetzen |
Aktualisieren | die Gruppe wird aktualisiert und es werden Benutzer oder Gruppen hinzugefügt |
Löschen | die Gruppe löschen |
Alle Mitgliederbenutzer löschen | die Benutzer die in der Gruppe sind werden gelöscht |
Alle Mitgliedergruppen löschen | die Gruppen in der Gruppe werden gelöscht, es ist möglich auch Gruppen zu verschachteln. |
Es soll eine Lokale Gruppe bearbeitet werden, also muss unter dem Suchpfad euer Computername angezeigt werden, die Einstellung gilt auch für andere Computer. Der Gruppenname kann auch eingeben werden und mit dem Button „Name überprüfen“ gesucht werden, ich gehe davon aus der Name ist nicht bekannt und gehe auf den Button „Erweitert“
Die Gruppe „Administratoren“ auswählen und mit dem Button „OK“ bestätigen
Die Gruppe die oben erstellt wurde wird jetzt in die GPO eingefügt über den Button „Hinzufügen“
Die Einstellungen speichern und alles schließen
auf dem Client wo die Gruppenrichtlinie verknüpft ist ein gpupdate /force durchführen und darauf achten das die Computerrichtlinie erfolgreich aktualisiert wurde, wenn nicht kann eine Überprüfung mit gpresult /h <Pfad\Dateiname.html> durchgeführt werden. In der Datei sind Fehler beschrieben. Die Einstellung wurde erfolgreich abgeschlossen, dann muss noch ein Ab und Anmelden erfolgen sonst wird das sogenannte Access Token (SIDs..) nicht erneuert.