edocom 10 Geschrieben 10. März 2009 Melden Teilen Geschrieben 10. März 2009 Hallo Leute Ich habe über die DefaultDomainPolice im Pfad: Computerkonfiguration/WindowsEinstellungen/Sicherheitseinstellungen/LokaleRichtlinien/Zuweisung von Benutzerrechten/Hinzufügen von Arbeitstationen zur Domäne für zwei Domänegruppen freigegeben. Nun meinem Verständnis nach dürfen die User dieser Gruppen PCs in die Domäne einbinden, wird das jedoch versucht bekomme ich die Fehlermeldung Zugriff verweigert? Warum??? Vielen Dank für eure Hilfe... Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. März 2009 Melden Teilen Geschrieben 10. März 2009 Servus, Ich habe über die DefaultDomainPolice im Pfad: wenn, dann müsstest du es in der Default Domain Controllers Richtlinie definieren. Computerkonfiguration/WindowsEinstellungen/Sicherheitseinstellungen/LokaleRichtlinien/Zuweisung von Benutzerrechten/Hinzufügen von Arbeitstationen zur Domäne Mit dem Zuweisen dieses Rechts, können die angegebenen Benutzer lediglich 10 Clients zur Domäne hinzufügen. Du könntest den Wert im Attribut "MS-DS-Machine-Account-Quota" hochsetzen. Siehe: Yusufs Directory Blog - Clients in die Domäne hinzufügen Zitieren Link zu diesem Kommentar
edocom 10 Geschrieben 10. März 2009 Autor Melden Teilen Geschrieben 10. März 2009 nein, die benutzer haben bei w2k3 standardrechte 10, die die aber explizit eingetragen sind, die haben uneingeschränkt. warum meinst du eigentlich in die Default Domain Controllers? was ist der unterschied... Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 10. März 2009 Melden Teilen Geschrieben 10. März 2009 nein, die benutzer haben bei w2k3 standardrechte 10, die die aber explizit eingetragen sind, die haben uneingeschränkt. Da bin ich anderer Meinung. Das Attribut "MS-DS-Machine-Account-Quota" worin der Wert 10 (standardmäßig) gespeichert ist, definiert den Wert dieser Richtlinie. Egal welcher Benutzer oder welche Gruppe in diese Richtlinie eingetragen wird, für den gilt der eingetragene Wert im Attribut. warum meinst du eigentlich in die Default Domain Controllers? was ist der unterschied... Weil diese Richtlinie bereits konfiguriert ist. Dort stehen schon die "Authentifizierten Benutzer". Zitieren Link zu diesem Kommentar
edocom 10 Geschrieben 10. März 2009 Autor Melden Teilen Geschrieben 10. März 2009 ja hattest recht, super danke!!! Zitieren Link zu diesem Kommentar
NorbertFe 2.114 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Da bin ich anderer Meinung. Das Attribut "MS-DS-Machine-Account-Quota" worin der Wert 10 (standardmäßig) gespeichert ist, definiert den Wert dieser Richtlinie. Egal welcher Benutzer oder welche Gruppe in diese Richtlinie eingetragen wird, für den gilt der eingetragene Wert im Attribut. Weil diese Richtlinie bereits konfiguriert ist. Dort stehen schon die "Authentifizierten Benutzer". Hi Yusuf, im Übrigen vermisse ich irgendwie die logische andere Alternative bei deiner Delegation. ;) Man setzt ms-DS-MachineAccountQuota auf 0 und delegiert auf OU Ebene das Recht Computer der Domäne hinzuzufügen. Vorteil: Die DDCP muß nicht modifiziert werden (dcgpofix läßt grüßen) und ich kann ganz genau definieren wer den Computer erstellen darf und wo. ;) Bye Norbert PS: Falls ich das in deinem Artikel übersehen haben sollte... ;) Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Hi Norbi, im Übrigen vermisse ich irgendwie die logische andere Alternative bei deiner Delegation. ;) hmm... ich bin mir nicht sicher ob ich den "Wink mit dem Zaunpfahl" richtig verstehe, aber ich gehe doch in der zweiten Hälfte meines Artikels auf die Delegierung ein. :confused: Vorteil: Die DDCP muß nicht modifiziert werden (dcgpofix läßt grüßen) und ich kann ganz genau definieren wer den Computer erstellen darf und wo. ;) Ich persönlich würde auch die Delegierung vorziehen. PS: Falls ich das in deinem Artikel übersehen haben sollte... ;) Scrolle mal den Artikel runter und schau noch mal. Wenn dort was fehlen sollte, ergänze ich es gerne. :) Zitieren Link zu diesem Kommentar
NorbertFe 2.114 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Hi Norbi, hmm... ich bin mir nicht sicher ob ich den "Wink mit dem Zaunpfahl" richtig verstehe, aber ich gehe doch in der zweiten Hälfte meines Artikels auf die Delegierung ein. :confused: Also irgendwie denke ich, dass der Artikel um das Problem drumherumschreibt ohne auf den Punkt zu kommen. Kann aber auch sein, dass es mir so schwer fällt, weil mir meine Lösung besser gefällt. Wenn ich Machine-Quota auf 0 setze und die DDCP nicht anfasse, kann ich alles auf Delegation veranlassen was gewünscht ist. Der Zusammenhang wird mir in deinem Artikel irgendwie nicht klar. :confused: Ich persönlich würde auch die Delegierung vorziehen. Dann sollte man im Artikel vielleicht einfach mal einen konkreten Hinweis dazu finden ;) Scrolle mal den Artikel runter und schau noch mal. Wenn dort was fehlen sollte, ergänze ich es gerne. :) Es fehlt nichts, nur wird der Unterschied zwischen den beiden Methoden meiner Meinung nach nicht klar. Du beschreibst zwar technisch alle Fakten, drückst dich aber irgendwie vor der Empfehlung, warum man eventuell das eine oder das andere tun sollte. Nenn es nicht Empfehlung, sondern Anwendungsgebiete für die jeweilige Methode wenn dir das besser gefällt. Aber eventuell liegts ja an mir. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Also irgendwie denke ich, dass der Artikel um das Problem drumherumschreibt ohne auf den Punkt zu kommen. [...] Dann sollte man im Artikel vielleicht einfach mal einen konkreten Hinweis dazu finden ;) Es fehlt nichts, nur wird der Unterschied zwischen den beiden Methoden meiner Meinung nach nicht klar. Du beschreibst zwar technisch alle Fakten, drückst dich aber irgendwie vor der Empfehlung, warum man eventuell das eine oder das andere tun sollte. Nenn es nicht Empfehlung, sondern Anwendungsgebiete für die jeweilige Methode wenn dir das besser gefällt. Ok, dann überarbeite ich ihn und reiche ihn dir zur Genehmigung ein. ;) Danke für die konstruktive Kritik. :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.