Rumak18 11 Geschrieben 28. März 2014 Melden Teilen Geschrieben 28. März 2014 Hallo, wir haben hier eine AD 2008 R2. Nun gibt es meines Wissens nach, DREI Möglichkeiten, wie ich einem bestimmten User (Nicht Domänen Admin) erlaube, "Computerkonten" zur Domäne hinzuzufügen. 1. Über die Objektverwaltung (Delegierung) mit der Option "Fügt einen Computer einer Domäne hinzu" 2. Über die Computerkonfiguration Gruppenrichtlinie "Hinzufügen von Arbeitsstationen zur Domäne" 3. Benutzer zur Gruppe "Konten-Operatoren" hinzufügen. Nun die große Frage: Wo liegt der Unterschied bzw. was sollte man vielleicht nicht einsetzen? Ich habe einen User, den ich explizit für das Hinzufügen von Computerkonten einsetzten möchte. Allerdings soll der User in der Lage sein ein Computerobjekt in jeder OU zu erstellen und nicht nur in der System OU "Computers". Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 28. März 2014 Melden Teilen Geschrieben 28. März 2014 Zu 3: Entsprechende Konten werden vom AD speziell geschützt, z.B. wird die Vererbund unterbrochen. Das kann ggf. zu Problemen bei Exchange führen, der Exchange Server erhält keine Berechtigung auf den Benutzer. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 29. März 2014 Melden Teilen Geschrieben 29. März 2014 Punkt 2 muss er auf jeden Fall haben, damit Punkt 1 überhaupt funktioniert... Und dann musst Du ihn halt in allen erforderlichen OUs und Containern dazu berechtigen, Computer zu erstellen. Konten-Operatoren ist Overkill, die dürfen von Haus aus ja noch viel mehr. Zitieren Link zu diesem Kommentar
Rumak18 11 Geschrieben 4. April 2014 Autor Melden Teilen Geschrieben 4. April 2014 Danke für euere Beiträge. Das mit dem Overkill habe ich mir schon gedacht, wollte aber eigentlich nicht jede Berechtigung jeder OU für einen User anfassen. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 4. April 2014 Melden Teilen Geschrieben 4. April 2014 Hm... Viel zu vele Admins vergeben viel zu viele Rechte an viel zu viele Accounts. "Least Privilege" ist nicht neu, nur beherzigt es fast keiner wirklich. Ein AD mit Win2K wäre heute noch sicher, wenn es gut (richtig) gemacht wird... mfg Martin Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 16. April 2014 Melden Teilen Geschrieben 16. April 2014 Hi, meines Wissens nach kann jeder Domain User bis zu 10 Rechner in AD per Default hinzufügen. Wenn man das nicht will muss man das explizit unterbinden. Mit der AD Delegation lässt sich einiges steuern. VG Andi Zitieren Link zu diesem Kommentar
NorbertFe 2.065 Geschrieben 16. April 2014 Melden Teilen Geschrieben 16. April 2014 Ja, aber ich denke es geht um mehr als nur 10 Konten. ;) Bye Norbert Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.