Jump to content

Windows 10 Domänenbeitritt ohne Berechtigung?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

in meinem AD lag plötzlich im Computer-Container das Computerkonto des privaten Notebooks eines Mitarbeiters. Das Recht Computer zur Domäne hinzuzufügen hat neben mir aber nur ein einziger IT-Mitarbeiter, und der hat den Beitritt nicht vollzogen.

 

Als der Kollege daraufhin sein privates Notebook zur Analyse vorbeigebracht hat wurde tatsächlich die Domänenmitgliedschaft angezeigt. Noch schlimmer: Er konnte es sogar nach dem Löschen mit seinem Konto (Standarduser) wieder zur Domäne hinzufügen.

 

Ein Blick in die effektiven Berechtigungen der Domäne sowie des Computer-Containers hat aber bestätigt, dass ihm dieses Recht nicht delegiert wurde!

Ich habe daraufhin einen Gegentest unter Windows 7 ausgeführt und dort erhält sein Konto beim Versuch eines Domänenbeitritts korrekt ein "Zugriff verweigert".

 

Ist das ein Windows 10 Feature, dass ich überlesen habe?

 

Danke

Daniel

 

Link zu diesem Kommentar

 

Hinzufügen von Arbeitsstationen zur Domäne

 

Mit dieser Sicherheitseinstellung wird festgelegt, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können.

 

Diese Sicherheitseinstellung ist nur für Domänencontroller gültig. Standardmäßig besitzt jeder authentifizierte Benutzer dieses Recht und kann bis zu 10 Computerkonten in der Domäne erstellen.

 

Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer an der Active Directory-Vernetzung teilnehmen. Wenn eine Arbeitsstation zum Beispiel einer Domäne hinzugefügt wird, kann diese Arbeitsstation Konten und Gruppen erkennen, die in Active Directory vorhanden sind.

 

Standardwert: "Authentifizierte Benutzer" bei Domänencontrollern.

 

Hinweis: Benutzer, die für den Active Directory-Container "Computer" die Berechtigung zum Erstellen von Computerobjekten besitzen, können auch in der Domäne Computerkonten erstellen. Der Unterschied ist, dass auf Benutzer, die über Berechtigungen für den Container verfügen, die Einschränkung zum Erstellen von maximal 10 Benutzerkonten nicht zutrifft. Darüber hinaus sind die Computerkonten, die mithilfe von "Hinzufügen von Arbeitsstationen zur Domäne" erstellt wurden, im Besitz von Domänenadministratoren, während bei Computerkonten, die mithilfe der Berechtigungen für den Container "Computer" erstellt wurden, der Ersteller des Computerkontos der Besitzer ist. Wenn ein Benutzer über Berechtigungen für den Container verfügt und auch das Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne" besitzt, wird der Computer basierend auf den Berechtigungen für den Container "Computer" und nicht basierend auf dem Benutzerrecht hinzugefügt.

 

bearbeitet von lefg
Link zu diesem Kommentar

Nur so als Verständnisfrage dazu:

Reicht es nicht schon aus die Gruppenrichtlinie zu setzen? Oder könnte auch sein, dass es vielleicht Benutzer bzw. Computer gibt, auf die die GPO nicht wirkt?

 

Bei der Änderung im AD mit Adsiedit:

https://support.microsoft.com/en-us/kb/243327

 

Kann man das auch noch anders machen und welche Nutzer dürfen danach keine Computer mehr in die Domäne bringen? Nur die eingeschränkten Nutzer oder auch der Domänenadministrator?

 

Danke schon mal für die Antworten. :)

Link zu diesem Kommentar

 

Oder könnte auch sein, dass es vielleicht Benutzer bzw. Computer gibt, auf die die GPO nicht wirkt?

 

Auf nicht zur Domäne gehörige Computer, kann eine Richtlinie nicht wirken. :)

 

Warum soll ein Angehöriger der Sicherheitsgruppe authentifizierter Benutzer der Domäne keinen Computer zur Domäne fügen können sollen, dürfen? Ist das schlimm? Muss zu sowas immer die IT beschäftigt werden (falls es eine gibt)? Ist eine Domäne ein Heiligtum? Und nur der Hohepriester erlaubt?

bearbeitet von lefg
Link zu diesem Kommentar

Warum soll ein Angehöriger der Sicherheitsgruppe authentifizierter Benutzer der Domäne keinen Computer zur Domäne fügen können sollen, dürfen? Ist das schlimm? Muss zu sowas immer die IT beschäftigt werden (falls es eine gibt)? Ist eine Domäne ein Heiligtum? Und nur der Hohepriester erlaubt?

Weil out of the Box ein Computer auch Mitglied der o.g. Sicherheitsgruppe ist. Somit hat er Zugriff auf alles wo die o.g. Sicherheitsgruppe eingetragen ist. Und ja, natürlich kann man eine Batch im SYSTEM-Kontext ausführen lassen. Der Taskplaner gibt diese Möglichkeit her, also kann man es als Sicherheitsrisiko sehen, muss es aber nicht als solches sehen.

Link zu diesem Kommentar

 

Weil out of the Box ein Computer auch Mitglied der o.g. Sicherheitsgruppe i

 

Tatsächlich Mitglied der o.g. Sicherheitsgruppe der Domäne? Oder des Computers? Wie sollte ein nicht zur Domäne gehäriger Computer Memebr einer Sicherheitsgruppe der Domäne sein? Ich  halte das für eine Unvereinbarkeit.

bearbeitet von lefg
Link zu diesem Kommentar

Wie sollte ein nicht zur Domäne gehäriger Computer Memeber einer Sicherheitsgruppe der Domäne sein? Ich  halte das für eine Unvereinbarkeit.

 

Weil so wie ich es verstanden habe ein authentifizierter Nutzer in der Standardkonfiguration bis zu zehn neue Rechner in die Domäne einbinden könnte, ohne dass man es Administrator mitbekommt. Je nach Konfiguration können die neuen Benutzer dann alles sehen.

 

Plötzlich ist da ein neuer Rechner in der Domäne. Wahrscheinlich lässt sich das aber eingrenzen, anhand der Computerkonten.

 

Das ist wohl wirklich sehr spezielles Wissen... man ist vielleicht gut beraten zu wissen, wie man in dem Fall damit umgeht.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Moin,

 

was auch immer ihr da diskutiert - folgen kann man euch momentan leider nicht.

 

Daher noch mal kurz die Fakten:

  • Schon seit Windows 2000 kann jeder Domänen-User bis zu 10 Rechner in die Domäne aufnehmen.
  • Auf dem lokalen Rechner braucht man dazu Adminrechte, aber nicht notwendig mit demselben Konto (z.B. lokales Konto mit Adminrechten plus normales Domänenkonto)
  • Ist ein Rechner in die Domäne aufgenommen, so ist er gleichberechtigtes Mitglied. Jeder Dom-User kann sich dann dort anmelden. Da aber wahrscheinlich der Besitzer des Rechners dort lokale Adminrechte hat, besteht schon ein erheblich erhöhtes Risiko.
  • Die Zahl 10 bezieht sich auf gleichzeitig im AD vorhandene Computer. Hat der User 10 erreicht und eines der Computerkonten wird gelöscht, dann hat er wieder eins "frei".
  • Dieses Recht ist im AD eingebaut und nicht über Policies gesteuert. Man kann die Zahl der Konten steuern über das Attribut ms-DS-machine-account-quota in der Domänen-Konfiguration.
  • Wer das Feature abstellen will, muss also genau das genannte Attribut auf den Wert 0 setzen.

Gruß, Nils

Link zu diesem Kommentar

 

Je nach Konfiguration können die neuen Benutzer dann alles sehen.

 

Welche neuen Benutzer?

 

Selbst wenn ich als Admin einen Benutzer anlege, sieht dieser nur die leere Freigabe. Erst wenn ich einen Benutzer einer Sicherheitsgruppe für Objekte wie Ordner und Dateinen hinzufüge, dann kann er die sehen.

bearbeitet von lefg
Link zu diesem Kommentar

@Nils:

Danke für deine Antwort... :)

 

Ich lass mir das mal auf dem Hirn zergehen.

 

 

Welche neuen Benutzer?

 

Selbst wenn ich als Admin einen Benutzer anlege, sieht dieser nur die leere Freigabe. Erst wenn ich einen Benutzer einer Sicherheitsgruppe für Objekte wie Ordner und Dateinen hinzufüge, dann kann er die sehen.

 

 

Nein... das ist in dem Fall wohl nicht so. Der User hat plötzich ggf. Admin-Rechte, bzw. erhöhte Rechte, weil er in der Gruppe authentifzierte Nutzer steckt. Zumindest nach meinem Verständnis.

bearbeitet von willy-goergen
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...