DC: Nur zugelassene PCs anmelden lassen

[Wolle1 10]

Hallo ich habe zur Zeit einen Windows Server 2003 und bald W2K8.

In meiner virtuellen Testumgebung, habe ich einen W2K3 Server installiert und einen Client. Ich habe festgestellt, dass jeder User in meiner virtuellen Testumgebung ein Rechner in die Domäne XYZ einbinden kann.

 

Was und Wo muss ich am Server einstellen, damit nicht jeder Rechner einfach so sich in die Domäne einbinden lässt.

 

Ich möchte das gerne so handhaben, dass man zuerst im AD den Rechner eintragen muss und erst danach kann nur der Admin den Client in die Domäne einbinden.

 

Gruß

Wolle

[Alith Anar 40]

????

 

Für die Aufnahme eines Rechners in eine Domäne müssen die Anmeldedaten eines Domänenadministrators verwendet werden. Ein normaler User (Domänenbenutzer) verfügt nicht über die notwendigen Berechtigungen. Die Benutzer kennen also entweder das Passwort mindestens eines Domänenadmin Accounts, oder verfügen selbst über zu viele Rechte in der Domäne.

Das wäre der Punkt an dem ich am schnellsten ansetzen würde: PW ändern und die Berechitigungen kontrollieren.

 

Grüße

Thomas

[Sunny61 811]

Für die Aufnahme eines Rechners in eine Domäne müssen die Anmeldedaten eines Domänenadministrators verwendet werden. Ein normaler User (Domänenbenutzer) verfügt nicht über die notwendigen Berechtigungen.

 

Ein normaler Benutzer darf out-of-the-Box 10 Rechner ins AD aufnehmen.

 

EDIT: http://blog.dikmenoglu.de/Clients+In+Die+Dom%C3%A4ne+Hinzuf%C3%BCgen.aspx

[NorbertFe 2.104]

????

 

Für die Aufnahme eines Rechners in eine Domäne müssen die Anmeldedaten eines Domänenadministrators verwendet werden. Ein normaler User (Domänenbenutzer) verfügt nicht über die notwendigen Berechtigungen.

 

Per Default kann er das, solange er lokaler Admin auf dem PC ist, den er in die Domain heben will.

 

Bye

Norbert

[NilsK 2.971]

Moin,

 

die Frage kommt mir bekannt vor - vielleicht war der TO neulich in meinem Vortrag. ;)

Programm heise Netze Tour 2012 Hamburg

 

Der oben zitierte Artikel von Yusuf ist zwar etwas ausführlich geraten, skizziert aber einen ganz guten Lösungsansatz. Die vom TO angefragte Methode ist auch möglich (Dom-Admin trägt den Computer ein, User nimmt ihn dann erst auf), erfordert aber einige Vorarbeit. Eine Suche nach "Active Directory computer account prestaging" dürfte weiterführen.

 

Gruß, Nils

[Wolle1 10]

Danke für die Antworten.

Ich werde es nochmal überprüfen.

[Wolle1 10]

Also ich habe noch mal im AD nachgschaut.

Der AD-User hat Benutzerrechte.

 

Wenn ich mich als lokaler Administrator auf den Client einlogge und ich diesen Client in die Domäne reinpacken möchte, habe ich testweise -bei Benutzer und Kennwortabfrage- den AD-User angegeben, der laut AD Benutzerrechte hat eingetippt. Der AD-User konnte den Rechner in die Domäne aufnehmen. Melde ich mich dann mit dem AD-User an die Domäne an, kann ich den Rechner nicht mehr aus der Domäne kicken. Ich glaube, man muss das irgendwo in "gpedit.msc" einstellen können, dass nur Admins die Rechner in die Domäne reinpacken können.

Könnt ihr mir da weiterhelfen?

 

*EDIT*

Und ich konnte diesen Computer weder als User noch als Admin in die Domäne aufnehmen, obwohl ich ihn zuvor aus dem AD gelöscht hatte. Warum konnte ich den Rechner trotzdem in die Domäne aufnehmen, obwohl der nicht mehr existiert hat?

[lefg 276]

Nun, ein beliebiger User kann zwar einen Rechner einer Domäne hinzufügen per Default, aber wieder herausnehmen, davon habe ich noch nie etwas gelsen. Zum Herausnehmen habe ich mich immer als Administrator angemeldet, entweder al lokaler Administrator, einem Konto eines Domänen-Admins oder eben als Administrator der Domäne. Das Löschen des Computerkontos war nicht sinnvoll, ich habe das neulich nach einem Versehen selbst erfahren müssen. Trotzdem sollte das Herausnehmen funktionieren, Anmelden als lokaler Administrator und zum Herausnehmen die Daten vom Administrator der Domäne verwenden.

[lefg 276]

AD Gelöschte Objekte Wiederherstellen – Tombstone & ADRecycleBin » blog.stephan-mey.de

 

Gelöschte Objekte werden im ausgeblendeten Container Gelöschte Objekte gespeichert (CN=Deleted Objects).

 

http://technet.microsoft.com/de-de/library/dd391916(v=ws.10).aspx

 

Frage ist natürlich, ist der AD-Papierkorb überhaupt vorhanden, wurde er ausdrücklich bereit gestellt?

[Wolle1 10]

Hallo lefg,

 

ja, der User kann nicht den Rechner aus der Domäne kicken. Das ist auch ok so. Nur, wie oder wo kann ich die Default Einstellung ändern, dass der User eben NICHT ein Rechner in die Domäne reinstellen kann?

 

Ich will z.B. auch nicht, dass man am Client den Rechner in die Domäne einfach so reinpacken kann, sondern erst, wenn der Rechner XYZ ZUERST im AD zu sehen ist. Erst dann soll es möglich sein, den Rechner in die Domäne einzubinden.

 

Gruß

Wolle

[Dukel 457]

Die Lösung steht ganz oben im Link von Sunny61.

[lefg 276]

.....ja, der User kann nicht den Rechner aus der Domäne kicken. Das ist auch ok so. Nur, wie oder wo kann ich die Default Einstellung ändern, dass der User eben NICHT ein Rechner in die Domäne reinstellen kann?

 

Ich will z.B. auch nicht, dass man am Client den Rechner in die Domäne einfach so reinpacken kann, sondern erst, wenn der Rechner XYZ ZUERST im AD zu sehen ist. Erst dann soll es möglich sein, den Rechner in die Domäne einzubinden.....

 

Hallo Wolle,

 

es steht z.B. in LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen

 

In der Default Domain Controllers Richtlinie ist das Benutzerrecht festgelegt, wer Arbeitsstationen zur Domäne hinzufügen darf.

Der Pfad ist folgender:

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\

Zuweisen von Benutzerrechten\Hinzufügen von Arbeitsstationen zur Domäne

 

Diese Richtlinie enthält standardmäßig bereits die Gruppe Authentifizierte Benutzer.

Somit ist es jedem Domänen-Benutzer möglich, 10 Clients in die Domäne hinzuzufügen.

Weitere Benutzer und/oder Gruppen können jederzeit in die Richtlinie hinzugefügt werden.