Vor einigen Tagen bin ich bei einer Migration eines Domino-Servers darauf gestoßen, dass der Kunde seine Gruppen LocalDomainAdmins und LocalDomainServers umbenannt hatte. Die Umbenennung dieser Gruppen hatte er vor einiger Zeit aufgrund einer Empfehlung vorgenommen. Mir erschließen sich die Gründe für diese Vorgehensweise nicht. Aber ich sehe eine ganze Reihe von Problemen und Gründen, warum man mit einer Umbenennung dieser Gruppen sehr vorsichtig sein sollte:

Da die Gruppen LocalDomainAdmins und LocalDomainServers standardgemäß in jeder (mitgelieferten) Datenbank verwendet werden oder verwendet werden sollten, zieht eine Umbenennung dieser Gruppen einen Rattenschwanz von Umbenennungen auf dem Domino-Server nach sich. Siehe dazu: Rename Group

Auch die meisten Dienstleister liefern ihre Notes-Produkte standardgemäß mit den Gruppen LocalDomainAdmins und LocalDomainServers aus. Wenn dann diese Schablonen so auf den Server gelegt werden, wie sie ausgeliefert werden, oder aus den nicht angepassten Schablonen Datenbanken erzeugt werden, sind die Standard-Gruppen quasi wirkungslos und Zugriffprobleme vorprogrammiert.

Bei einer Domino-Migration sollten System-Datenbanken, wie die mail.box, die log.nsf vor dem ersten Hochfahren des Servers gelöscht bzw. umbenannt werden. Diese Datenbanken werden beim Hochfahren des Servers automatisch erstellt. Hierbei erzeugt der Domino-Server aus den in eckigen Klammern gesetzten Gruppen der Schablone die entsprechenden Gruppen, beispielsweise aus [LocalDomainAdmins] und [LocalDomainServers] die Gruppen LocalDomainAdmins und LocalDomainServers mit den entsprechend voreingestellten Rechten.

Findet der Server beim Anlegen einer Datenbank keine Person oder Personengruppe mit Manager-Zugriff, so trägt er automatisch den unter der Konfigurationseinstellung Admin in der notes.ini registrierten Administrator in die ACL ein. Findet er keinen Server oder Servergruppe mit Manager-Zugriff, so trägt er auch automatisch den unter den Konfigurationseinstellung ServerName in der notes.ini registrierten Server mit Managerrechten in die ACL ein.

Da die Schablonen während des Setup-Prozesses, also bei jeder Installation und wesentlichen Aktualisierung, im Data-Verzeichnis neu installiert werden, enthalten diese natürlich die Standardgruppen. Demzufolge müssen sie und die daraus neu erstellten Datenbanken ebenfalls entsprechend angepasst werden.

Spätestens an dieser Stelle sollte klar sein, dass eine Umbenennung der Standardgruppen LocalDomainAdmins und LocalDomainServers eine Reihe von fehlerträchtigen Nacharbeiten nach sich zieht, die ein hohes Maß an Aufmerksamkeit und Aufwand erfordern. Bleibt die Frage, durch welchen Vorteil dieser hohe Mehraufwand gerechtfertigt werden sollte.