TheCracked 13 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Hallo Zusammen, ich habe vor kurzem zum Test einer AD Gruppe über "Objektverwaltung Zuweisen" in "AD Benutzer und Computer " das Recht "Fügt einen Computer einer Domäne hinzu" zugewiesen. Jetzt habe ich mich gefragt, wie ich das Recht wieder entfernen kann. Also Suche an geschmissen.. Ergebnis: Ich muss dies in den Sicherheitseinstellungen der Gruppe wieder entfernen. Jetzt zu meiner Frage: Wie soll hier der Eintrag heißen? Ich kann einfach das vergebene Recht nicht finden. Es muss doch wenn ich in der Gruppe auf "Sicherheit" und dann auf "Erweitert" gehe hier zu finden sein oder? Umgebung: Windows Server 2003 Domäne Viele Grüße thecracked Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Moin, ein solches Recht gibt es auf Objektebene nicht. Es handelt sich dabei um ein Recht auf Domänenebene, das in der Default Domain Policy gesetzt werden kann. Auf OU-Ebene kannst du die Berechtigung zum Erzeugen und Verwalten von Computerkonten vergeben. Vermutlich ist das gemeint. Dabei musst du beachten, dass du mit dem Assistenten zur Objektverwaltung nur neue Berechtigungen hinzufügen, aber keine bestehenden verwalten kannst. Um das zu tun, musst du in die Sicherheitseinstellungen der betreffenden OU, z.B. über AD-Benutzer und -Computer. Zudem ist aber zu berücksichtigen, dass standardmäßig jeder AD-Benutzer bis zu 10 Computer in die Domäne aufnehmen kann. Um das zu ändern, musst du den Eintrag ms-DS-MachineAccountQuota mit ADSI Edit bearbeiten. Um bestehende AD-Berechtigungen zu analysieren, empfehle ich LIZA: [Liza: Berechtigungen in Active Directory analysieren | faq-o-matic.net]http://www.faq-o-matic.net/2010/04/06/liza-berechtigungen-in-active-directory-analysieren/ Gruß, Nils Zitieren Link zu diesem Kommentar
TheCracked 13 Geschrieben 21. August 2014 Autor Melden Teilen Geschrieben 21. August 2014 Hallo, Auf OU-Ebene kannst du die Berechtigung zum Erzeugen und Verwalten von Computerkonten vergeben. Vermutlich ist das gemeint. Ja genau das meinte ich... Dabei musst du beachten, dass du mit dem Assistenten zur Objektverwaltung nur neue Berechtigungen hinzufügen, aber keine bestehenden verwalten kannst. Um das zu tun, musst du in die Sicherheitseinstellungen der betreffenden OU, z.B. über AD-Benutzer und -Computer. Genau hier komme ich nicht weiter. Ich weißt nicht wie die Berechtigung heißt, damit ich diese wieder entfernen kann.. Zudem ist aber zu berücksichtigen, dass standardmäßig jeder AD-Benutzer bis zu 10 Computer in die Domäne aufnehmen kann. Um das zu ändern, musst du den Eintrag ms-DS-MachineAccountQuota mit ADSI Edit bearbeiten. Ja genau, der Eintrag wurde schon bearbeitet... Grüße thecracked Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Moin, schau mit LIZA nach, dann solltest du die betreffenden Berechtigungen schnell identifizieren können. Der Assistent setzt i.d.R. eine Kombination von Einzelberechtigungen, so wird das hier auch sein. Gruß, Nils Zitieren Link zu diesem Kommentar
TheCracked 13 Geschrieben 21. August 2014 Autor Melden Teilen Geschrieben 21. August 2014 Hat super funktioniert mit dem Tool. Konnte es nun leicht identifizieren. Das ganze heißt---- 'computer' objects mit den Berechtigungen Create und Delete Merci Nils Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 21. August 2014 Melden Teilen Geschrieben 21. August 2014 Moin, sehr gern, danke für die Rückmeldung! OT: Übrigens scheint deine Signatur schon etwas älter zu sein. ;) Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.