Administratorengruppen im Überblick
Im Active Directory gibt es unter Windows Server 2012 die bekannten verschiedenen Administratorengruppen, die über unterschiedliche Berechtigungen verfügen. Diese können je nach Administratorengruppe sehr mächtig ausfallen, etwa bei den Schema-Admins, die Veränderungen an den grundlegenden Einstellungen des Verzeichnisdienstes vornehmen dürfen. Es kann deshalb nicht schaden, sich mit den Berechtigungen der einzelnen Gruppen einmal näher auseinanderzusetzen.
Die Administratorengruppen befinden sich im Container "Users": Domänen-Admins enthalten die Administratoren, die die lokale Domäne verwalten und umfassende Rechte darin haben. Ein Administrator ist jeweils nur für eine Domäne zuständig. Wenn Sie mehrere Domänen in einer Gesamtstruktur anlegen, gibt es mehrere Benutzerkonten namens "Administrator", die jeweils zu einer Domäne gehören und nur in dieser einen Domäne volle administrative Berechtigungen besitzen. Domänen-Admins haben in einer Domäne umfassendere Rechte als Organisations-Admins. Organisations-Admins sind Administratoren, die Berechtigungen für alle Domänen im AD besitzen. Sie haben auf der Ebene der Gesamtstruktur die meisten Rechte, aber in einzelnen Domänen haben die Domänen-Admins mehr Rechte. Organisations-Admins gibt es nur in der Root-Domäne.
Schema-Admins sind eine der kritischsten Gruppen überhaupt. Mitglieder dieser Gruppe dürfen Veränderungen am Schema des Active Directory vornehmen. Produkte, die das Schema des Active Directory erweitern, wie zum Beispiel Exchange, können nur installiert werden, wenn der installierende Administrator in dieser Gruppe Mitglied ist. Das Konto "Administrator" in der ersten installierten Domäne einer Gesamtstruktur ist das wichtigste und kritischste Konto im gesamten System. Es erlaubt den administrativen Zugriff auf alle wichtigen Systemfunktionen und ist Mitglied aller beschriebenen Administratorengruppen. Einige der Gruppen sind nur in der ersten Domäne, die in der Gesamtstruktur eingerichtet wurde, definiert. Andere Gruppen erstellt Windows 2012 erst nach der Installation bestimmter Dienste wie DNS und DHCP.
Vor allem in Gesamtstrukturen sind diese Standardgruppen in der Root-Domäne besonders wichtig: DHCP-Administratoren dürfen DHCP-Server in der Domäne verwalten. Die Gruppe wird nach der Installation des ersten DHCP-Servers auf einem Domänencontroller der Domäne erstellt. Der "DHCP-Benutzer" enthält Benutzerkonten, die lesend auf die Informationen des DHCP-Dienstes zugreifen, aber keine Änderungen vornehmen dürfen. Diese Gruppe ist nur für Administratoren und Operatoren, nicht für normale Benutzer oder Computer relevant. Computer, die DHCP-Adressen anfordern, müssen darin nicht aufgenommen werden.
Die Gruppe DnsAdmins enthält die Administratoren für DNS-Server. Dieser Gruppe sind keine Benutzer zugeordnet. Sie kann verwendet werden, um die Administration von DNS-Servern zu delegieren. Das ist vor allem dann von Bedeutung, wenn die DNS-Infrastruktur eines Unternehmens von Administratoren verwaltet wird, die nicht für die Active Directory-Umgebung zuständig sind. Diese Gruppe wird erst angelegt, wenn ein DNS-Server auf einem Domänencontroller erstellt wurde, der seine Informationen im Active Directory verwaltet.
In der Gruppe DnsUpdateProxy befinden sich Computer, die als Proxy für die dynamische Aktualisierung von DNS-Einträgen fungieren können. Diese Gruppe steht nur zur Verfügung, wenn ein Domänencontroller angelegt wird. In diese Gruppe können Sie zum Beispiel DHCP-Server aufnehmen, die dynamische DNS-Einträge für die Clients auf den DNS-Servern erstellen sollen. Die Gruppe Richtlinien-Ersteller-Besitzer umfasst die Anwender, die Gruppenrichtlinien für die Domäne erstellen dürfen. Das können Administratoren sein, die sich nur um diese Aufgabe in der Gesamtstruktur kümmern.
Die Gruppe WINS Users wird angelegt, wenn es einen WINS-Server auf einem der DC gibt. In ihr befinden sich die Benutzer, die nur Leserechte auf die WINS-Datenbank haben. Die Gruppen DnsUpdateProxy, Organisations-Admins, Schema-Admins und DnsAdmins werden in der ersten Domäne, die in einer Gesamtstruktur eingerichtet wird, definiert. Das ist gleichzeitig die oberste Domäne der ersten Struktur der Gesamtstruktur. Einer Gruppe können Benutzer und Benutzergruppen aus unterschiedlichen Domänen der Struktur hinzugefügt werden.
ln