Wenn es darum geht Domänen-Administratoren in weniger mächtige Gruppen zu unterteilen, ein Domänenkonto oder eine Domänengruppe per Gruppenrichtlinie in lokale Gruppen von Domänencomputern zu hängen oder generell die lokalen Gruppen per Gruppenrichtlinie zu überschreiben, dann kommen am besten „Eingeschränkte Gruppen“ zum Einsatz. (eine Liste aller Builtin-Gruppen einer Domäne sowie deren Funktionen finden sich hier: http://technet.microsoft.com/en-us/library/cc756898(WS.10).aspx)
Die Verwendung ist nicht ganz intuitiv, daher hier eine kleine Beschreibung zum Verständnis.
In der entsprechenden Gruppenrichtlinie gibt es unter „Computerkonfiguration|Windows-Einstellungen|Sicherheitseinstellungen|Eingeschränkte Gruppen“ die Möglichkeit lokale Gruppen zu erweitern oder zu überschreiben.
Die Erweiterung:
Unter „Eingeschränkte Gruppen“ eine „Gruppe hinzufügen“ auswählen und die entsprechende Domänengruppe auswählen. In der nächsten Einstellung im Bereich „Diese Gruppe ist Mitglied von“ die avisierte lokale Gruppe angeben.
Das Überschreiben:
Unter „Eingeschränkte Gruppen“ eine „Gruppe hinzufügen“ auswählen und die entsprechende lokale Gruppe auswählen. In der nächsten Einstellung im Bereich „Mitglieder dieser Gruppe“ die entsprechenden Domänengruppe/-nutzer einfügen.
ACHTUNG: Soll so eine existierende lokale Gruppe überschrieben werden, müssen alle Vorgabewerte dieser Gruppe – so sie denn übernommen werden sollen – explizit noch einmal aufgelistet werden.