danieldd 12 Geschrieben 1. März 2012 Melden Teilen Geschrieben 1. März 2012 Hallo zusammen, ich bräucht Unterstützung bzgl. automatisierter Erstellung eines AD Computer Kontos durch eine ImageUnattend.xml in Verbindung mit einem WDS Server. Domänen-Controller / WDS Server: Windows 2k8 Standard R2 Einstellungen am WDS: "Nur bekannten Client Computern antworten" ; d. h. die AD Computer Konten werden mittels GUID vor dem PXE Boot bereits im AD erstellt. Folgendes Problem / Szenario tritt auf: Wenn in der ImageUnattend.XML für den JoinDomain als Credentials der Domänen-Admin verwendet wird, wird der Client korrekt automatisiert in die Domäne aufgenommen. Wird aber hier ein anderer Domänen-User-Account verwendet, welcher die Berechtigung zum Hinzufügen von Computer Objekten hat, schlägt der Domain Join fehl, mit Meldung "Zugriff verweigert". Dem User-Account wurden die Rechte '"Computer"-Objekte erstellen' und '"Computer"-Objekte löschen' per Delegierung (testweise) auf Domänen-Ebene gewährt. Zudem ist dieser Domänen Account auch in der "Default Domain Controller Policy" bei Option "Hinzufügen von Arbeitsstationen zur Domäne" hinterlegt. Wird der Domänen Account (mit Recht zum Hinzufügen von Clients zur Domäne) verwendet, um Clients in die Domäne aufzunehmen, welche nicht mittels WDS installiert wurden, d. h. das Computerkonto wird physikalisch erst im AD während des Domain-Join erstellt, so funktioniert dies mit uneingeschränkter Anzahl problemlos. Wird das Computerkonto (mit hinterlegter GUID für RemoteInstall) manuell gelöscht, so kann mit diesem Domänen Account der Client ebenfalls korrekt in die Domäne aufgenommen werden. Dies würde bedeuten, dass die Delegierung für den User Account erfolgreich umgesetzt wurde. Es scheint, als ob Computer Objekte im AD welche mit RemoteInstall erstellt wurden, nur vom Domänen-Admin geändert bzw. überschrieben werden dürfen, aber nicht von anderen User Accounts mit ausreichend Berechtigungen durch die WDS Unattend Installation. Auch die Integration des Domänen Accounts in der Builtin Gruppe Server-Operatoren hat keine Veränderung gezeigt. In den Foren, bei Microsoft oder allgemein bei Google bin hierzu leider bisher nicht fündig geworden. Gibts es irgendwo spezielle Rechte für WDS zur Verwaltung der Domänen Konten mit GUID? Oder wodurch könnte das Problem sonst verursacht werden? Danke für jeden Hinweis :) Zitieren Link zu diesem Kommentar
P.Foeckeler 11 Geschrieben 2. März 2012 Melden Teilen Geschrieben 2. März 2012 Vielleicht fehlt Eurem Account noch die Berechtigung : "Reset Password" auf Computer-Objekte, und zwar auf Domänenebene, vererbt nach unten. Es handelt sich dabei um eines der "Extended Rights"....mit DSACLS muss man dann "Control Access" (CA) als Recht vergeben, mit einem "Reset Password" dahinter. Gruß, Philipp Zitieren Link zu diesem Kommentar
danieldd 12 Geschrieben 6. März 2012 Autor Melden Teilen Geschrieben 6. März 2012 Hallo Philipp, danke für deine Unterstützung. Ich habe die Berechtigungen "Kennwort ändern" und "Kennwort zurücksetzen" auf Domänen-Ebene im AD mittels DSACLS gesetzt. Der DomoinJoin funktioniert aber leider immer noch nicht. Habe mittlerweile zusätzlich auch die folgenden Rechte für den Account gesetzt: - "GUID hinzufügen" - "Abgelaufendes Kennwort wiederherstellen" Wird diesem Account auf Domänen-Ebene Vollzugriff gewährt, so funktioniert der Domain-Join, es wird also vermutlich an irgend einem fehlendem Extended Recht liegen. An welchen Rechten könnte es noch liegen? Gibt es von MS eine Dokumentation bzgl. erforderliche Zugriffsrechte für den DomainJoin. Danke. grüsse daniel Zitieren Link zu diesem Kommentar
danieldd 12 Geschrieben 7. März 2012 Autor Melden Teilen Geschrieben 7. März 2012 Lösung Die Berechtigung "Kennwort zurücksetzen" war der korrekte Ansatz. Jedoch mussten noch folgende zusätzliche Rechte wie folgt auf Domänen-Ebene mit Vererbung gesetzt werden: Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\User:CA;"Reset Password"; Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\User:WP;"Account Restrictions"; Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\User:WS;"Validated write to DNS host name"; Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\User:WS;"Validated write to service principal name"; Anschließend funktioniert der DomainJoin mittels WDS Installation problemlos. Danke für die Unterstützung. grüsse daniel Zitieren Link zu diesem Kommentar
pvlavh 10 Geschrieben 6. November 2012 Melden Teilen Geschrieben 6. November 2012 SUPER! Das ist die perfekte Art die entpr. Rechte zu delegieren! Danke für die Vorarbeit! Noch zur Ergänzung: Die Delegierung kann auch auf einfachere ABER dafür nicht so genaue Weise gemacht werden: In MMC "Benutzer- und Computer" mit Rechts auf die Domäne klicken und "Objektverwaltung zuweisen..." (Delegate Control) anklicken. Dann kann die enstpr. Gruppe/Benutzer und das Recht "Fügt einen Computer einer Domäne hinzu" ausgewählt werden. Gruß rAtze Zitieren Link zu diesem Kommentar
pvlavh 10 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 ein wichtiges Detail hat noch gefehlt!!!! die 4 zuvor erklärten Dsacls können zwar vorhandene computer-Objekte überschreiben/aktualisieren, aber einen neu installierten Computer kann es nicht hinzufügen. Dazu muss den entspr. User das Recht zum " "Computer"-Objekt erstellen " gegeben werden: Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\User:DC;computer Bei uns in unserem Fall das ganze für die OU=Computers_WDS in die bei der Isntallation per WDS die neuen Computer-Objekte abgelegt werden: Dsacls "OU=Computers_WDS,DC=Domäne,DC=local" /I:T /G Domäne\User:DC;computer greetings rAtze Zitieren Link zu diesem Kommentar
pvlavh 10 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 anstatt der beiden Smily wart "doppelpunkt D" gemeint :D Zitieren Link zu diesem Kommentar
pvlavh 10 Geschrieben 17. Dezember 2012 Melden Teilen Geschrieben 17. Dezember 2012 so wird ein schuh draus (create anstatt delete ;) Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\User:CC;computer Zitieren Link zu diesem Kommentar
pvlavh 10 Geschrieben 3. Dezember 2015 Melden Teilen Geschrieben 3. Dezember 2015 Nachbrenner:Nachdem ich mit Rechteverbesserungen in der Domain zu tun hatte undplötzlich unser WDS im Bezug "Speicherort des Computerkontos" und Access Denied erhieltWie oben geschrieben, kann mit dem Befehlen das Recht zum hinzufügen von Computern zur Domöne gewährt werden.Im Bezug WDS sind dann noch weitere Rechte notwendig.Da man normalerweise keinem Bentuzer das recht gibt hier anhand meiner lokale AD-Gruppe: "Domäne\lokale_Domäne_MachineAccount_hinzu" Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:CA;"Reset Password";Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WP;"Account Restrictions";Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WS;"Validated write to DNS host name";Dsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WS;"Validated write to service principal name";Dsacls "DC=Domäne,DC=local" /I:T /G Domäne\lokale_Domäne_MachineAccount_hinzu:CC;computerREM: reicht eigentlich für eine OU; Hier Beispiel OU=Computers_WDSDsacls "OU=Computers_WDS,DC=Domäne,DC=local" /I:T /G Domäne\lokale_Domäne_MachineAccount_hinzu:CC;computerREM: Damit WDS im Bezug "Speicherort des Computerkontos" geändert werden kannREM: Habe ich nur mit tüfteln herausgefunden und ist ggf. nicht 100%ig; offizielle Infos habe ich dazu nirgends gefundenDsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:RPDsacls "DC=Domäne,DC=local" /I:S /G Domäne\lokale_Domäne_MachineAccount_hinzu:WP vllt hilft es jemanden... Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.