Discussion:
AD Gruppe "Domänen Benutzer"
(zu alt für eine Antwort)
K. Schulz
2009-09-23 08:24:01 UTC
Permalink
Hallo zusammen,

im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die eine
bestimmte systemrelevante Aufgabe/Wert oder kann ich diese bedenkenlos
löschen.

Gruss Klaus
Helmut Schneider
2009-09-23 09:30:33 UTC
Permalink
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die eine
bestimmte systemrelevante Aufgabe/Wert oder kann ich diese bedenkenlos
löschen.
Du solltests Dir dringend Literatur oder einen Fachmann zulegen, allein für
diese Frage. Die Gruppe hat eine Sonderrolle, ähnlich wie auch Domänen
Computer.

Aber lösch sie halt einfach mal...
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Yusuf Dikmenoglu [MVP]
2009-09-23 09:40:53 UTC
Permalink
Servus,
Post by Helmut Schneider
Aber lösch sie halt einfach mal...
das ist überhaupt keine gute Idee.
Denn standardmäßig erfolgt beim hinzufügen eines
Clients zur Domäne zwei Dinge:

1. Die Gruppe "Domänen-Benutzer" wird zur lokalen
Gruppe (auf dem Client) der "Benutzer" hinzugefügt.
Denn erst dann, kann sich ein Domänen-Benutzer
an diesem Client anmelden.
2. Die Gruppe "Domänen-Admins" werden zur lokalen
Gruppe "Administratoren" hinzugefügt.


Gruß, Yusuf

========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
========================================
K. Schulz
2009-09-23 10:13:01 UTC
Permalink
Hallo Yusuf,

herzlichen Dank, genau das war die Information die ich benötigt habe.
Das habe ich so noch nirgends gelesen!

Schönen tag noch

Gruss Klaus
Post by Yusuf Dikmenoglu [MVP]
Servus,
Post by Helmut Schneider
Aber lösch sie halt einfach mal...
das ist überhaupt keine gute Idee.
Denn standardmäßig erfolgt beim hinzufügen eines
1. Die Gruppe "Domänen-Benutzer" wird zur lokalen
Gruppe (auf dem Client) der "Benutzer" hinzugefügt.
Denn erst dann, kann sich ein Domänen-Benutzer
an diesem Client anmelden.
2. Die Gruppe "Domänen-Admins" werden zur lokalen
Gruppe "Administratoren" hinzugefügt.
Gruß, Yusuf
========================================
##### Microsoft MVP - Directory Services #####
Blog: http://blog.dikmenoglu.de
MVP-Profil: https://mvp.support.microsoft.com/profile/Yusuf
========================================
Helmut Schneider
2009-09-23 10:29:54 UTC
Permalink
Post by Yusuf Dikmenoglu [MVP]
Post by Helmut Schneider
Aber lösch sie halt einfach mal...
das ist überhaupt keine gute Idee.
Also hast Du es nicht versucht. Mach doch mal. Trau Dich. Komm schon.
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
K. Schulz
2009-09-23 10:08:06 UTC
Permalink
Hallo Helmut,

danke für deine Antwort, die mir leider nicht wirklich weiterhilft :-(

Genau das ist es ja was ich herausbekommen will, welche "Sonderrolle" diese
Gruppe hat. Ich lese sehr wohl diverse Fachlitertur, z.B. Handbuch Windows
Server 2008 von Microsoft und da steht nur lapidar:

Zitat:
Die Mitglieder dieser Gruppe haben Benutzerrechte im System. Sie können mit
dem System arbeiten und Dokumente Speichern. Sie können aber keine Programme
installieren oder kritische Anpassungen an Eisntellungen des Systems
vornehmen. Bei Servern haben die Mitglieder dieser gruppe allerdings im
Regelfall nur das recht über das netztwerk zuzugreifen. Sie dürfen sich
dagegegn nicht lokal anmelden. Wir ein server in eine Domäne aufgenommen wird
während dieses Prozesses die Gruppe "Domänen Benutzer" in die Gruppe der
lokalen Benutzer aufgenommen.
Zitat Ende.

Was bedeutet "mit dem System arbeiten"???
Dokumente Speicher will ich nicht, die Rechte für den Fileserver sind in
eigenen Gruppen angelegt, die Gruppe "Domänen-Benutzer" wurde in den
Sicherheitseinstellungen komplett gelöscht. Funktioniert ohne Probleme.

Das ist der Grund weshalb ich Nachfrage, aus Sichheitsgründen wird von mir
alles eleminiert was für den Betrieb nicht unbedingt benötigt wird.

OK habe es ausprobiert, die Gruppe läst sich nicht löschen.

Gruss Klaus
Post by Helmut Schneider
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die eine
bestimmte systemrelevante Aufgabe/Wert oder kann ich diese bedenkenlos
löschen.
Du solltests Dir dringend Literatur oder einen Fachmann zulegen, allein für
diese Frage. Die Gruppe hat eine Sonderrolle, ähnlich wie auch Domänen
Computer.
Aber lösch sie halt einfach mal...
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Thorsten Kampe
2009-09-23 14:42:01 UTC
Permalink
* K. Schulz (Wed, 23 Sep 2009 03:08:06 -0700)
Post by K. Schulz
Das ist der Grund weshalb ich Nachfrage, aus Sichheitsgründen wird von
mir alles eleminiert was für den Betrieb nicht unbedingt benötigt
wird.
Das kann man nur dann erfolgreich machen, wenn man von den
Hintergruenden sehr viel Ahnung hat. Wenn das nicht so ist, ist es der
beste Weg, sein Netz komplett zu ruinieren.

Thorsten
Florian Frommherz [MVP]
2009-09-23 09:58:53 UTC
Permalink
Howdie!
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die
eine bestimmte systemrelevante Aufgabe/Wert oder kann ich diese
bedenkenlos löschen.

Ich würde sie nicht löschen. in der Gruppe landen alle Benutzer der
Domäne - alle, die du neu erstellst und alle, die du bisher erstellt
hast, sind dort drin. Die Gruppe ist nützlich beim Zuweisen von
Berechtigungen, da die Gruppe
(1) nicht wie "Authenticated Users" auch Computer als Mitglied hat
(Domänen Benutzer sind nur Benutzer)
(2) nur Benutzer der eigenen Domäne als Benutzer hat ("Authenticated
Users" sind auch Benutzer anderer Domänen/vertrauter Domänen).

Nicht löschen.

Cheers,
Florian
K. Schulz
2009-09-23 10:14:10 UTC
Permalink
Hallo Florian,

danke für deine Antwort!
Genau das wollte ich nicht, die Gruppe "Domänen-Benutzer" habe ich von
jedweder Berechtigung eleminiert! Deshalb war ja meine Frage warum brauche
ich die noch.
Yusuf hat mir freundlicherweise auf die Sprünge geholfen.

Gruss Klaus
Post by Florian Frommherz [MVP]
Howdie!
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die
eine bestimmte systemrelevante Aufgabe/Wert oder kann ich diese
bedenkenlos löschen.
Ich würde sie nicht löschen. in der Gruppe landen alle Benutzer der
Domäne - alle, die du neu erstellst und alle, die du bisher erstellt
hast, sind dort drin. Die Gruppe ist nützlich beim Zuweisen von
Berechtigungen, da die Gruppe
(1) nicht wie "Authenticated Users" auch Computer als Mitglied hat
(Domänen Benutzer sind nur Benutzer)
(2) nur Benutzer der eigenen Domäne als Benutzer hat ("Authenticated
Users" sind auch Benutzer anderer Domänen/vertrauter Domänen).
Nicht löschen.
Cheers,
Florian
Helmut Schneider
2009-09-23 10:30:30 UTC
Permalink
Post by Florian Frommherz [MVP]
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die eine
bestimmte systemrelevante Aufgabe/Wert oder kann ich diese bedenkenlos
löschen.
Ich würde sie nicht löschen.
Feigling!! :)
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
M. Müller
2009-09-23 17:14:27 UTC
Permalink
On Wed, 23 Sep 2009 12:30:30 +0200, "Helmut Schneider"
Post by Helmut Schneider
Post by Florian Frommherz [MVP]
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat die eine
bestimmte systemrelevante Aufgabe/Wert oder kann ich diese bedenkenlos
löschen.
Ich würde sie nicht löschen.
Feigling!! :)
genau.. und backups sind auch nur für feiglinge und arbeitsscheue
admins, ne :)
Helmut Schneider
2009-09-24 10:31:06 UTC
Permalink
Post by M. Müller
On Wed, 23 Sep 2009 12:30:30 +0200, "Helmut Schneider"
Post by Helmut Schneider
Post by Florian Frommherz [MVP]
Post by K. Schulz
im AD gibt es eine vorgefertigte Gruppe "Domänen Benutzer", hat
die eine bestimmte systemrelevante Aufgabe/Wert oder kann ich
diese bedenkenlos löschen.
Ich würde sie nicht löschen.
Feigling!! :)
genau.. und backups sind auch nur für feiglinge und arbeitsscheue
admins, ne :)
Nein, das ganz sicher nicht, aber "Domain Users" ist eine "built-in domain
global group", da ist nix mit löschen, zumindest nicht ohne rohe Gewalt.
Vermutlich weil schon andere lange vor dem OP gemeint haben, die könne man
löschen.
--
No Swen today, my love has gone away
My mailbox stands for lorn, a symbol of the dawn
Loading...