Domain join Rechte

[hundele 10]

Tach,

 

wollte mal kurz fragen ob es eine Möglichkeit gibt einem Domain-User die Rechte für einen Domain join zu geben.

Also das der mit seinem Account neue System in die Domain aufnehmen kann.

Will Ihm nicht unbedingt in die Gruppe DomainAdmins aufnehmen.

 

System: Windows 2008 SP2 x64

 

gruß

[NorbertFe 2.157]

Ja gibt es. Ich vermute du hast noch keine Suchmaschine dazu befragt, oder? Abgesehen davon kann per Default jeder user in einem AD erstmal 10 PCs aufnehmen. ,)

Hier hast du mal zum Anfang was zu lesen:

LDAP://Yusufs.Directory.Blog/ - Objektdelegierungen einrichten

 

Bye

Norbert

[morro 10]

HI,

Soweit ich weiß darf ein User Standardmäßig 10 Rechner in die Domäne nhemen.

 

LG

[NorbertFe 2.157]

Ja, aber das Recht würde ich auch eher nicht dafür nutzen. ;)

 

Bye

Norbert

[hundele 10]

doch hatte schon gesucht,

allerdings das ganze so verstanden das er sich von 10 verschiedenen System anmelden kann und dann Schluss ist.

 

Aber thx schomal werd mich da mal durchwühlen

 

gruß

[NorbertFe 2.157]

allerdings das ganze so verstanden das er sich von 10 verschiedenen System anmelden kann und dann Schluss ist.

 

Häh? Jeder Nutzer kann, wie schon geschrieben, per Default 10 Workstation in die Domäne aufnehmen. Wenn du das explizit delegieren willst, mußt du einer Gruppe die entsprechenden Rechte (siehe Artikel) delegieren.

 

Bye

Norbert

[hundele 10]

Also entweder ich habe mich falsch ausgedrück oder bin vll. doch zu panne.

Da Ihr schreib ein Domain-User kann per default 10 Workstations in die Domain aufnehmen, hab ich das grade nochmal getestet. Von einem XP Client.

 

Arbeitsplatz -> Eigenschaften -> Computername -> Ändern -> Domäne (meinedom.tld) -> Benutzername: meinedom\meinuser Passwort: meinpass

 

Dann bekomme ich wie immer die schöne Fehlermeldung.

--

Bei dem Versuch der Domäne "meinedom.tld" beizutreten, trat der folgende Fehler auf:

Zugriff verweigert

--

 

So hab ich jetzt euch falsch verstanden oder Ihr mich, oder mache ich wat falsch.

Ich weiß nur das ich bis jetzt immer mit einem DomainAdmin die Clients in die Domain aufgenommen habe.

 

gruß

[NorbertFe 2.157]

Also entweder ich habe mich falsch ausgedrück oder bin vll. doch zu panne.

Da Ihr schreib ein Domain-User kann per default 10 Workstations in die Domain aufnehmen, hab ich das grade nochmal getestet. Von einem XP Client.

 

Arbeitsplatz -> Eigenschaften -> Computername -> Ändern -> Domäne (meinedom.tld) -> Benutzername: meinedom\meinuser Passwort: meinpass

 

Dann bekomme ich wie immer die schöne Fehlermeldung.

--

Bei dem Versuch der Domäne "meinedom.tld" beizutreten, trat der folgende Fehler auf:

Zugriff verweigert

--

 

Dann hat dieser User entweder schon 10 Workstations aufgenommen, oder deine Domäne ist nicht mehr im "Standard" diesbezüglich.

 

Bye

Norbert

[hundele 10]

den User habe ich grade erst neu angelegt,.

Soweit ich weiss sind an der Domain Policy keine Änderungen dies bezüglich gemacht worden.

Würde mich auch wundern.

 

Ich werd mal bei zeiten ne neue Domain aufsetzen und schauen ob das per default da geht.

 

Trotzdem danke.

gruß

[Sunny61 816]

den User habe ich grade erst neu angelegt,.

Soweit ich weiss sind an der Domain Policy keine Änderungen dies bezüglich gemacht worden.

 

Melde dich mit dem User an einem Client an und ruf RSOP.MSC auf. Evtl. findest Du die Einstellung ja recht schnell.

[Daim 12]

Servus,

 

Soweit ich weiss sind an der Domain Policy keine Änderungen dies bezüglich gemacht worden.

 

du musst das in der Default Domain Controllers Richtlinie überprüfen. Was du genau überprüfen musst, steht hier:

 

LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen

 

Ich werd mal bei zeiten ne neue Domain aufsetzen und schauen ob das per default da geht.

 

Du kannst uns das auch "einfach" glauben, dass das schon seit Windows 2000 Standard ist. ;)

[NorbertFe 2.157]

Du kannst uns das auch "einfach" glauben, dass das schon seit Windows 2000 Standard ist. ;)

 

Mindestens schon seit NT4 (ich vermute schon seit immer ;))

 

Bye

Norbert

[Daim 12]

Mindestens schon seit NT4 (ich vermute schon seit immer ;))

 

Aber zu Zeiten von NT gabs noch kein AD, also zählt das nicht. ;) :p

[hundele 10]

Du kannst uns das auch "einfach" glauben, dass das schon seit Windows 2000 Standard ist. ;)

 

Vertauen ist gut Kontrolle ist besser ;)

Ja Ihr habt recht.

Hab das grad nachgestellt.

 

Jetzt hab ich auch die Policys verglichen.

Bei der Policy wo das Problem besteht, ist bei "Hinzufügen von Arbeitsstationen zur Domäne" die Einstellung "Nicht definiert".

(Bei Erklärung steht "default ist "Authentifizierte Benutzer" ", also sollte das doch auch greifen wenn nichts definiert ist oder) ?

 

Bei der neuen steht "Authentifizierte Benutzer"

 

Wenn ich das jetzt aber bei der Problem Domain :) auch eintrage, anschließend ein gpupdate druchführe.

Will er immer noch nicht. Ok vll. braucht er noch. Ist zwar schon ca. 45 - 60 min her.

 

Na mal sehen was moin ist.

 

Wenns net geht probier ich es mal über die Objektdelegierung, oder habt Ihr einen Ansatzpunkt wo ich schauen könnte was der Regel wiederspricht.

Sollte es das überhaupt geben.

 

gruß

[NorbertFe 2.157]

Objektdelegation ist auf jeden Fall der bessere Weg.

1. Du kannst bestimmen wer darf

2. Der der darf, darf das mehr als 10x

3. Du kannst bestimmen in welchen OUs er das darf

4. Ist es einfach der technisch sinnvollere Weg.

 

Bye

Norbert