GPO und Aufnahme von Computern in die Domäne

[pastors 10]

Hallo zusammen,

habe eine Verständnisfrage zu GPOs und die Aufnahme von Computern in die Domäne.

Möchte einem Mitarbeiter das Recht erteilen Computer aufzunehmen. Deshalb trug ich diesen in der Default Policy ein. Leider funktioniert dies nicht, denn es können weiterhin alle Mitarbeiter Computer aufnehmen. Die Policy wird unter gpresult auch als ausgeführt angezeigt. Weiß jemand woran dies liegen könnte?

 

Noch eine weitere Frage. Dieser Mitarbeiter soll zukünftig nur das Recht haben, Computer mit Windows XP bzw. Vista in die Domäne aufzunehmen. Lässt sich dies mithilfe von WMI Filter machen oder gibt es eine bessere Möglichkeit?

[NorbertFe 2.116]

Hallo zusammen,

habe eine Verständnisfrage zu GPOs und die Aufnahme von Computern in die Domäne.

Möchte einem Mitarbeiter das Recht erteilen Computer aufzunehmen. Deshalb trug ich diesen in der Default Policy ein. Leider funktioniert dies nicht, denn es können weiterhin alle Mitarbeiter Computer aufnehmen. Die Policy wird unter gpresult auch als ausgeführt angezeigt. Weiß jemand woran dies liegen könnte?

 

Jeder Domänenbenutzer kann per Default 10 Computerkonten im AD erstellen. Wenn du das nicht willst, mußt du den Default ändern.

http://support.microsoft.com/kb/251335/en-us

 

Noch eine weitere Frage. Dieser Mitarbeiter soll zukünftig nur das Recht haben, Computer mit Windows XP bzw. Vista in die Domäne aufzunehmen. Lässt sich dies mithilfe von WMI Filter machen oder gibt es eine bessere Möglichkeit?

 

Nein, das kann man afaik nicht beeinflussen. Hast du Angst er würde NT4 aufnehmen oder wie?

 

Bye

Norbert

[NilsK 2.971]

Moin,

 

standardmäßig darf jeder User bis zu zehn Computer in die Domäne aufnehmen. (Gezählt werden dabei die jeweils vorhandenen Computerkonten, bei denen der User als Owner drinsteht.)

 

Um das zu ändern, kannst du dies in der AD-Konfiguration heruntersetzen oder abschalten und dann gezielt für die OU, in die der User die Konten einfügen soll, die passenden Berechtigungen vergeben.

 

LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen

 

Auf bestimmte Windows-Versionen kannst du das nicht eingrenzen. Hierzu fiele mir höchstens ein Skript ein, das regelmäßig im AD nach Computerkonten mit bestimmten OS-Versionen sucht und dann reagiert.

 

Gruß, Nils

[Daim 12]

Off-Topic:
Hey Norbi und Nils, ihr müsst` doch Geld verdienen --> beim Kunden <-- und sollt` hier nicht als "Lingering Objects" euch aufhalten. ;)

[pastors 10]

Wow, das ging super fix :)

Danke schonmal.

 

Den Mitarbeiter und die Domänen admins habe ich testweise in die Default Policy eingetragen. Trotzdem dürfen andere Mitarbeiter weiterhin Computeraufnehmen. Unter gpresult erscheint die Regel als ausgeführt.

 

 

Da hätte ich aber direkt die nächste Frage. Folgendes Situationstellung: Der Mitarbeiter darf in seiner OU Computer hinzufügen. Wenn er nun einen Computer direkt über den Client hinzufügt, wird ein neues Computerkonto im AD unter Domäne -> Computers erstellt. Der Mitarbeiter selbst hat keine Rechte unter Computers Änderungen vorzunehmen.

Damit der Mitarbeiter den Computer schieben kann, müsste ich ihm die notwendigen Rechte über die Objektdelegierung erteilen. Die andere Möglichkeit wäre ein Computerkonto in der richtigen OU zu erstellen und anschließend in die Domäne aufzunehmen.

Sehe ich das so richtig?

[Daim 12]

Servus,

 

Den Mitarbeiter und die Domänen admins habe ich testweise in die Default Policy eingetragen. Trotzdem dürfen andere Mitarbeiter weiterhin Computeraufnehmen.

 

1. Hast du denn auch die "Authentifizierten Benutzer" aus der Richtlinie entfernt?

2. Hast du dir den Link den Nils gepostet hat durchgelesen? Nein? Dann tue es.

 

 

Damit der Mitarbeiter den Computer schieben kann, müsste ich ihm die notwendigen Rechte über die Objektdelegierung erteilen. Die andere Möglichkeit wäre ein Computerkonto in der richtigen OU zu erstellen und anschließend in die Domäne aufzunehmen.

Sehe ich das so richtig?

 

Korrekt, steht auch in dem Link.