Einschränken der OU Computers

[edocom 10]

Hallo

 

Ich habe folgende Frage, ich möchte die standardmässige OU Computers so einschränken, dass wir Computer in die Domäne nehmen können, aber dannach nicht mehr viel läuft, so dass wenn sich der Computer in der OU Computers befindet, er wir ausgeschlossen ist, bis wir ihn aus dieser OU verschieben.

 

Hat jemand bereits so etwas gemacht? Vielen Dank...

[lefg 276]

.....die standardmässige OU Computers so einschränken, ...

Hallo,

 

am Rande bemerkt: Das ist keine OU, das ist ein Container.

 

Ich glaube zwar das Anliegen verstanden zu haben, der Sinn will mir aber nicht aufgehen. Wozu soll das gut sein, was ist das Ziel?

[Eyeswide 10]

Ditte verstehe ich auch nicht.

Wozu soll das gut sein??

 

Und wie mein Vorredner schon sagte: keine OU, container, da geht`s eh nicht.

 

Es ist aber möglich eine Ou zu bauen, das Computerkonto voher in dieser OU anlegen, den Rechner reinnehmen. Dann ist er automatisch dort und könnte mit GPO`s eingeschränkt werden.

[edocom 10]

es geht darum, weil im w2k3 haben ja user das recht 10 computer in die domäne zu nehmen...!

wir haben bei uns entwickler und wir wollen es merken, wenn sie eine neue maschine in die domäne nehmen, so merken wir gar nichts...!

 

dann könnten wir den Computer in die richtige OU schieben und ihm bereits am start eine beschreibung geben, ansonsten herscht in der ad ein chaos...!

 

und ich möchte nicht noch eine ou bauen und dann alle computer aus dem CONTAINER computers manuell verschieben müssen...!

[Daim 12]

Servus,

 

Ich habe folgende Frage, ich möchte die standardmässige OU Computers so einschränken, dass wir Computer in die Domäne nehmen können, aber dannach nicht mehr viel läuft, so dass wenn sich der Computer in der OU Computers befindet, er wir ausgeschlossen ist, bis wir ihn aus dieser OU verschieben.

 

das ergibt keinen Sinn, denn wer darf denn das Computerkonto verschieben?

Richtig, der Administrator bzw. derjenige, der die entsprechenden Berechtigunen delegiert/eingerichtet bekommen hat und nicht der Benutzer. Einen Administrator zu "beschneiden" macht überhaupt keinen Sinn, denn dieser kann sich die Rechte wieder holen.

 

Ein Admin ist nunmal ein Admin.

[Daim 12]

es geht darum, weil im w2k3 haben ja user das recht 10 computer in die domäne zu nehmen...!

 

Das ist nicht erst seit Windows Server 2003 so, sondern seit Windows NT.

 

wir haben bei uns entwickler und wir wollen es merken, wenn sie eine neue maschine in die domäne nehmen, so merken wir gar nichts...!

 

Dann nehme den Entwicklern das Recht, Clients zur Domäne hinzufügen zu können.

Ich halte es ohnehin als Risiko, die authentifizierten Benutzer in der GPO bestehen zu lassen. Imho gehören die dort raus.

 

Yusuf`s Directory - Blog - Clients in die Domäne hinzufügen

 

dann könnten wir den Computer in die richtige OU schieben und ihm bereits am start eine beschreibung geben, ansonsten herscht in der ad ein chaos...!

 

Wie gesagt, es sollten ohnehin nur autorisierte Benutzer dieses Recht haben und das sind nunmal die IT-Leute. Alle anderen haben damit nichts zu tun.

 

und ich möchte nicht noch eine ou bauen und dann alle computer aus dem CONTAINER computers manuell verschieben müssen...!

 

Brauchst du auch nicht. Entferne die authentifizierten Benutzer aus der GPO oder trage im Attribut MS-DS-Machine-Account-Quota als Wert "0" ein. Denn dann können die auth. Benutzer ebenfalls keine Clients mehr zur Domäne hinzufügen.

[edocom 10]

ich kann die entwickler aber nicht rausnehmen, weil diese diese rechte umbedingt benötigen...! ich möchte nur erfahren, wann sie einen compuer anmelden dazu möchte ich sie nur zwingen, sonst habe ich den container computers voller geräte von denen ich nichts weis...! gibts keine andere lösung...

[lefg 276]

Die Entwickler also, eine alte Geschichte. Ich habe mal für sowas ein separates physikalisches Netz und eine Domäne gebaut, den Entwicklern einen eigenen Spielplatz, dort lonnten sie toben.

[woiza 10]

Du kannst höchstens den Standardcontainer ändern und darauf dann ne GPO setzen.

 

redircomp

 

Aber ich verstehe den Ablauf nicht. Wenn du nachedm ein Entwickler die Kiste reinnimmt das Ding sowieso verschieben musst und die Clients solange kastriert werden, bis du Hand anlegst, dann kannst du sie doch gleich selber aufnehmen, oder?

[edocom 10]

ja unsere entwickler sind ein bisschen seltsame leute :) die wollen alles können...! ist ein heikles thema...! ja dann muss es halt so bleiben wie es ist...!

 

ich wollte eigentlich das es so funktioniert, wenn sie einen computer reinnehmen, dass sie mich kontaktieren müssen, damit ich den computer in die richtige ou schieben kann und zugleich eine beschreibung drauflegen kann...

 

aber ja... in dem fall geht es nicht...

[constref 10]

Ich hätte da mal noch eine Anregung oder besser eine Frage: Bei uns in der Firma ist es auch so, nur haben wir hier die Problematik, dass die Computer im Container "Computers" nicht der Firmenrichtlinie unterworfen sind. Da wir sie von Hand verschieben, aber nicht immer jeder Kollege daran denkt, hätte ich gerne eine Möglichkeit, die verhindert, sich an einem Rechner anzumelden, der noch im Container "Computers" ist. So weiss ein Kollege gleich "ach ja, vergessen den Rechner im AD zu verschieben". Gibt es da eine Möglichkeit? Ist die Lösung?

[Daim 12]

Salut,

 

Gibt es da eine Möglichkeit?

 

ändere doch den Speicherort der Computerobjekte mit REDIRCMP.

Wenn ein Client zur Domäne hinzugefügt wird, wird das Computerkonto-Objekt automatisch im Container CN=Computers erstellt.

Mit REDIRCMP kannst du den standard Speicherort für die Computerobjekte ändern. Wie das geht, steht in diesem Artikel:

 

Redirecting the users and computers containers in Windows Server 2003 domains

 

 

P.S. Auch kann man mit REDIRUSR den Speicherort von Benutzerkonten ändern.

Steht ebenfalls in dem Artikel.