Windows-Rechner mit lokalen Gruppenrichtlinien verwalten

Die richtigen Regler

Die Verwaltung und Konfiguration einzelner Arbeitsplatzrechner geschieht häufig über das Editieren der Registry. In großen Installationen sind dagegen Domaincontroller sowie zentrale Gruppenrichtlinien üblich. Dabei nutzen Administratoren die Gruppenrichtlinien-Verwaltungskonsole. In diesem Beitrag zeigen wir, wie Sie Rechner mit lokalen Gruppenrichtlinien steuern.
Das flexible Bereitstellen von Anwendungen und Software-Umgebungen ist dank der Container-Technologie kein Hexenwerk mehr. Dennoch gilt es für Admins, so ... (mehr)

Den Komfort der Gruppenrichtlinien-Verwaltungskonsole (GPMC) können Administratoren unter Windows 10 mit dem Editor für lokale Gruppenrichtlinien (gpedit.msc) ebenfalls genießen. Bleibt das Problem, eine auf einem Rechner erstellte Gruppenrichtlinie auf einen anderen Rechner zu übertragen. Dafür bietet Microsoft glücklicherweise im Microsoft Security Compliance Toolkit 1.0 [1] mit dem Lokalen-Gruppenrichtlinienobjekt-Tool (LGPO.exe) ein Werkzeug an.

Rechtemanagement über SIDs

Das Rechtemanagement in Windows basiert nicht auf den Nutzernamen, sondern auf den SIDs. Dazu wird jeder Nutzername und jede Gruppe auf einen internen Security Identifier (SID) abgebildet. In den Berechtigungsobjekten steht dann nur der SID.

Mit dem Befehl »wmic useraccount get name,sid« können wir uns die Zuordnung Nutzername zu SID in der Eingabeaufforderung anzeigen lassen. Die Gruppen erhalten Sie entsprechend mit »wmic group get name,sid« . Eine Nutzer-SID unter Windows 10 beginnt mit "S-1-5-21", dann folgt ein zufälliger Rechner- beziehungsweise domänenspezifischer Teil und zum Schluss werden die unterschiedlichen Benutzerkonten durchnummeriert.

Der Rechner- beziehungsweise Domainteil wird bei der Installation zufällig generiert. Die letzte Nummer zählt die angelegten Nutzer beginnend mit 1001 hoch. Die Nummern ab 501 sind die vordefinierten Systemkonten.

Bei den Gruppen gibt es ein paar SIDs, die auf allen Rechnern gleich sind, da sie keine Zufallskomponente enthalten:

- Administratoren: S-1-5-32-544

- Benutzer: S-1-5-32-545

- Gäste: S-1-5-32-546

- Hauptbenutzer: S-1-5-32-547

Die prinzipielle Windows-Konfiguration findet in der Registry statt. Die Einstellungen in der Registry werden dann mit Informationen aus den Gruppenrichtlinien überschrieben. Dabei kommen zuerst die lokalen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021