Daniel-H 10 Geschrieben 13. November 2015 Melden Teilen Geschrieben 13. November 2015 Hallo, in meinem AD lag plötzlich im Computer-Container das Computerkonto des privaten Notebooks eines Mitarbeiters. Das Recht Computer zur Domäne hinzuzufügen hat neben mir aber nur ein einziger IT-Mitarbeiter, und der hat den Beitritt nicht vollzogen. Als der Kollege daraufhin sein privates Notebook zur Analyse vorbeigebracht hat wurde tatsächlich die Domänenmitgliedschaft angezeigt. Noch schlimmer: Er konnte es sogar nach dem Löschen mit seinem Konto (Standarduser) wieder zur Domäne hinzufügen. Ein Blick in die effektiven Berechtigungen der Domäne sowie des Computer-Containers hat aber bestätigt, dass ihm dieses Recht nicht delegiert wurde! Ich habe daraufhin einen Gegentest unter Windows 7 ausgeführt und dort erhält sein Konto beim Versuch eines Domänenbeitritts korrekt ein "Zugriff verweigert". Ist das ein Windows 10 Feature, dass ich überlesen habe? Danke Daniel Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 13. November 2015 Melden Teilen Geschrieben 13. November 2015 Jeder Domänenbenutzer kann 10 PCs zur Domäne hinzufügen. Und zwar seit _immer_ ;) Wenn du das nicht willst, mußt du gegensteuern. Hat also nix mit Windows 10 zu tun. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. November 2015 Melden Teilen Geschrieben 13. November 2015 Moin, ich habe mit diesem unbekannten, aber schon seit 16 Jahren existierenden Feature schon ganze Security-Roadshows bestritten. Schön, in dem Moment in lauter entsetzte Gesichter zu schauen, wo dem User der Domänenbeitritt einfach so gelingt. Gruß, Nils Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. November 2015 Melden Teilen Geschrieben 13. November 2015 (bearbeitet) Hinzufügen von Arbeitsstationen zur Domäne Mit dieser Sicherheitseinstellung wird festgelegt, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können. Diese Sicherheitseinstellung ist nur für Domänencontroller gültig. Standardmäßig besitzt jeder authentifizierte Benutzer dieses Recht und kann bis zu 10 Computerkonten in der Domäne erstellen. Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer an der Active Directory-Vernetzung teilnehmen. Wenn eine Arbeitsstation zum Beispiel einer Domäne hinzugefügt wird, kann diese Arbeitsstation Konten und Gruppen erkennen, die in Active Directory vorhanden sind. Standardwert: "Authentifizierte Benutzer" bei Domänencontrollern. Hinweis: Benutzer, die für den Active Directory-Container "Computer" die Berechtigung zum Erstellen von Computerobjekten besitzen, können auch in der Domäne Computerkonten erstellen. Der Unterschied ist, dass auf Benutzer, die über Berechtigungen für den Container verfügen, die Einschränkung zum Erstellen von maximal 10 Benutzerkonten nicht zutrifft. Darüber hinaus sind die Computerkonten, die mithilfe von "Hinzufügen von Arbeitsstationen zur Domäne" erstellt wurden, im Besitz von Domänenadministratoren, während bei Computerkonten, die mithilfe der Berechtigungen für den Container "Computer" erstellt wurden, der Ersteller des Computerkontos der Besitzer ist. Wenn ein Benutzer über Berechtigungen für den Container verfügt und auch das Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne" besitzt, wird der Computer basierend auf den Berechtigungen für den Container "Computer" und nicht basierend auf dem Benutzerrecht hinzugefügt. bearbeitet 13. November 2015 von lefg Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 13. November 2015 Melden Teilen Geschrieben 13. November 2015 Moin, ja, fast. Allerdings ist das nur ein Teil des Ganzen. Vor allem muss man das ms-DS-machine-account-quota auf 0 setzen. Gruß, Nils Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 13. November 2015 Melden Teilen Geschrieben 13. November 2015 Nur so als Verständnisfrage dazu: Reicht es nicht schon aus die Gruppenrichtlinie zu setzen? Oder könnte auch sein, dass es vielleicht Benutzer bzw. Computer gibt, auf die die GPO nicht wirkt? Bei der Änderung im AD mit Adsiedit: https://support.microsoft.com/en-us/kb/243327 Kann man das auch noch anders machen und welche Nutzer dürfen danach keine Computer mehr in die Domäne bringen? Nur die eingeschränkten Nutzer oder auch der Domänenadministrator? Danke schon mal für die Antworten. :) Zitieren Link zu diesem Kommentar
Daniel-H 10 Geschrieben 13. November 2015 Autor Melden Teilen Geschrieben 13. November 2015 Ich danke Euch! Mir dämmert, das auch schon mal gelesen zu haben...aber man wird halt vergesslich ;) Gruß Daniel Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 Ich nehm mal an, ich hab mich bisher noch nicht b***d genug angestellt? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 (bearbeitet) Oder könnte auch sein, dass es vielleicht Benutzer bzw. Computer gibt, auf die die GPO nicht wirkt? Auf nicht zur Domäne gehörige Computer, kann eine Richtlinie nicht wirken. :) Warum soll ein Angehöriger der Sicherheitsgruppe authentifizierter Benutzer der Domäne keinen Computer zur Domäne fügen können sollen, dürfen? Ist das schlimm? Muss zu sowas immer die IT beschäftigt werden (falls es eine gibt)? Ist eine Domäne ein Heiligtum? Und nur der Hohepriester erlaubt? bearbeitet 15. November 2015 von lefg Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 Warum soll ein Angehöriger der Sicherheitsgruppe authentifizierter Benutzer der Domäne keinen Computer zur Domäne fügen können sollen, dürfen? Ist das schlimm? Muss zu sowas immer die IT beschäftigt werden (falls es eine gibt)? Ist eine Domäne ein Heiligtum? Und nur der Hohepriester erlaubt? Weil out of the Box ein Computer auch Mitglied der o.g. Sicherheitsgruppe ist. Somit hat er Zugriff auf alles wo die o.g. Sicherheitsgruppe eingetragen ist. Und ja, natürlich kann man eine Batch im SYSTEM-Kontext ausführen lassen. Der Taskplaner gibt diese Möglichkeit her, also kann man es als Sicherheitsrisiko sehen, muss es aber nicht als solches sehen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 (bearbeitet) Weil out of the Box ein Computer auch Mitglied der o.g. Sicherheitsgruppe i Tatsächlich Mitglied der o.g. Sicherheitsgruppe der Domäne? Oder des Computers? Wie sollte ein nicht zur Domäne gehäriger Computer Memebr einer Sicherheitsgruppe der Domäne sein? Ich halte das für eine Unvereinbarkeit. bearbeitet 15. November 2015 von lefg Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 (bearbeitet) Wie sollte ein nicht zur Domäne gehäriger Computer Memeber einer Sicherheitsgruppe der Domäne sein? Ich halte das für eine Unvereinbarkeit. Weil so wie ich es verstanden habe ein authentifizierter Nutzer in der Standardkonfiguration bis zu zehn neue Rechner in die Domäne einbinden könnte, ohne dass man es Administrator mitbekommt. Je nach Konfiguration können die neuen Benutzer dann alles sehen. Plötzlich ist da ein neuer Rechner in der Domäne. Wahrscheinlich lässt sich das aber eingrenzen, anhand der Computerkonten. Das ist wohl wirklich sehr spezielles Wissen... man ist vielleicht gut beraten zu wissen, wie man in dem Fall damit umgeht. bearbeitet 15. November 2015 von willy-goergen Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 Moin, was auch immer ihr da diskutiert - folgen kann man euch momentan leider nicht. Daher noch mal kurz die Fakten: Schon seit Windows 2000 kann jeder Domänen-User bis zu 10 Rechner in die Domäne aufnehmen. Auf dem lokalen Rechner braucht man dazu Adminrechte, aber nicht notwendig mit demselben Konto (z.B. lokales Konto mit Adminrechten plus normales Domänenkonto) Ist ein Rechner in die Domäne aufgenommen, so ist er gleichberechtigtes Mitglied. Jeder Dom-User kann sich dann dort anmelden. Da aber wahrscheinlich der Besitzer des Rechners dort lokale Adminrechte hat, besteht schon ein erheblich erhöhtes Risiko. Die Zahl 10 bezieht sich auf gleichzeitig im AD vorhandene Computer. Hat der User 10 erreicht und eines der Computerkonten wird gelöscht, dann hat er wieder eins "frei". Dieses Recht ist im AD eingebaut und nicht über Policies gesteuert. Man kann die Zahl der Konten steuern über das Attribut ms-DS-machine-account-quota in der Domänen-Konfiguration. Wer das Feature abstellen will, muss also genau das genannte Attribut auf den Wert 0 setzen. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 (bearbeitet) Je nach Konfiguration können die neuen Benutzer dann alles sehen. Welche neuen Benutzer? Selbst wenn ich als Admin einen Benutzer anlege, sieht dieser nur die leere Freigabe. Erst wenn ich einen Benutzer einer Sicherheitsgruppe für Objekte wie Ordner und Dateinen hinzufüge, dann kann er die sehen. bearbeitet 15. November 2015 von lefg Zitieren Link zu diesem Kommentar
willy-goergen 0 Geschrieben 15. November 2015 Melden Teilen Geschrieben 15. November 2015 (bearbeitet) @Nils: Danke für deine Antwort... :) Ich lass mir das mal auf dem Hirn zergehen. Welche neuen Benutzer? Selbst wenn ich als Admin einen Benutzer anlege, sieht dieser nur die leere Freigabe. Erst wenn ich einen Benutzer einer Sicherheitsgruppe für Objekte wie Ordner und Dateinen hinzufüge, dann kann er die sehen. Nein... das ist in dem Fall wohl nicht so. Der User hat plötzich ggf. Admin-Rechte, bzw. erhöhte Rechte, weil er in der Gruppe authentifzierte Nutzer steckt. Zumindest nach meinem Verständnis. bearbeitet 15. November 2015 von willy-goergen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.