Beim Installieren des DHCP-Serverdiensts werden zwei lokale Domänengruppen erstellt: DHCP-Benutzer und DHCP-Administratoren.
In Windows-Versionen vor Windows Server 2008 R2 wurde der DHCP-Dienst (Dynamic Host Configuration-Protokoll) unter dem lokalen Systemkonto ausgeführt und verfügte über die Rechte zum Erstellen der Gruppen in der SAM-Datenbank (Security Accounts Manager, Sicherheitskontenverwaltung). Der DHCP-Serverdienst in Windows Server 2008 R2 wurde in das Netzwerkdienstkonto verschoben, das über geringere Rechte verfügt und mit dem die Sicherheitskonten nicht erstellt werden können. Um das Hinzufügen von Sicherheitsgruppen und das Festlegen von Zugriffssteuerungslisten (Access Control Lists, ACLs) zu ermöglichen, verwendet DHCP die Anwendungsprogrammierschnittstelle (Application Programming Interface, API) DhcpAddSecurityGroups. Diese API ist in Dhcpsapi.dll implementiert und wird vom Rollenverwaltungstool gestartet, nachdem die DHCP-Server-Serverrolle installiert wurde.
Gruppe "DHCP-Benutzer"
Mitglieder der Gruppe DHCP-Benutzer haben mithilfe des MMC-Snap-Ins (Microsoft Management Console) DHCP Lesezugriff auf den Server. Auf diese Weise können sie Serverdaten anzeigen, aber nicht ändern, einschließlich DHCP-Serverkonfiguration, Registrierungsschlüsseln, DHCP-Protokolldateien und DHCP-Datenbank. DHCP-Benutzer können nicht Bereiche erstellen, Optionswerte ändern, Reservierungen bzw. Ausschlussbereiche erstellen oder die DHCP-Serverkonfiguration auf andere Weise ändern.
Gruppe "DHCP-Administratoren"
Mitglieder der Gruppe DHCP-Administratoren können alle Einstellungen auf dem DHCP-Server anzeigen und ändern. DHCP-Administratoren können Bereiche erstellen und löschen, Reservierungen hinzufügen, Optionswerte ändern, Bereichsgruppierungen erstellen oder andere Aufgaben ausführen, die für die Verwaltung des DHCP-Servers erforderlich sind, wie z. B. das Exportieren oder Importieren der DHCP-Serverkonfiguration und der DHCP-Datenbank.
Mitglieder der Gruppe DHCP-Administratoren verfügen nicht über uneingeschränkte Administratorrechte. Wenn z. B. ein DHCP-Server auch als DNS-Server konfiguriert ist, kann ein Mitglied der Gruppe DHCP-Administratoren die DHCP-Konfiguration anzeigen und ändern, kann aber die DNS-Serverkonfiguration auf demselben Computer nicht ändern.
Mitglieder der Gruppe DHCP-Administratoren verfügen nur über Rechte für den lokalen Computer, weshalb DHCP-Administratoren DHCP-Server in Active Directory-Domänendiensten nicht autorisieren bzw. deren Autorisierung aufheben können. Diese Aufgabe kann nur von Mitgliedern der Gruppe Domänen-Admins ausgeführt werden. Wenn Sie einen DHCP-Server in einer untergeordneten Domäne autorisieren bzw. dessen Autorisierung aufheben möchten, benötigen Sie Anmeldeinformationen als Organisationsadministrator für die übergeordnete Domäne.
 | Hinweis |
|
Sie müssen ein Mitgliedskonto in der Gruppe Organisations-Admins verwenden, um sich als Organisationsadministrator anzumelden. Sie können dieser Gruppe beitreten, indem Sie sich als lokaler Administrator beim ersten in Ihrem Unternehmen erstellten Domänencontroller anmelden. |
Weitere Verweise
Eine Liste mit Hilfethemen mit entsprechenden Informationen finden Sie unter Empfohlene Aufgaben für die DHCP-Serverrolle.
Aktualisierte detaillierte Informationen zu DHCP für IT-Experten finden Sie in der Dokumentation zu Windows Server 2008 auf der