Kuddel071089 9 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Hallo zusammen, ich habe für unsere VMware Umgebung einen User erstellt, der einen Server in die AD aufnhemen soll. Bei uns wird zuerst ein Skript ausgeführt (mit Domain-Admin User), welches die Berechtigungsgruppe sowie das Computerobjekt in der gewünschten OU erstellt. Dann wir das VMware Template ausgerollt wo der o.g. User im Sysprep hinterlegt ist. Ich hab das ganze jetzt einmal getestet, in dem ich einen Test-Server aus der AD entfernt habe (ohne das Computerobjket zu löschen) und ihn nun mit dem neuen User wieder ins AD aufnehmen wollte. Der User hat bisher die Rechte nach folgender Anleitung bekommen: http://prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/ Jetzt bekomme ich bei der versuchten Aufnahme folgende Fehlermeldung: Der Mitgliedschaftsvorgang ist fehlgeschlagen. Mögliche Ursache hierfür könnte sein, dass ein vorhandenes Computerkonto namens "XXX" zuvor mit anderen Anmeldeinformationen erstellt wurde. Verwenden Sie einen anderen Computernamen, oder wenden Sie sich an den Administrator, um sämtliche veralteten in Konflikt stehenden Konten zu entfernen. Fehler: Zugriff verweigert Sie also so aus, dass dem User Rechte fehlen. Jetzt ist die Frage, welches Recht der User benötigt, um das bestehende Conputerobjekt berarbeiten / verwalten zu können. UAC und Firewall sind deaktiviert. Danke und Gruß Kuddel Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Geht es denn, wenn Du das Computer-Object vorher löschst? Wenn ja, denke mal scharf nach ;) Erstellen <> Bearbeiten. Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 16. Dezember 2015 Autor Melden Teilen Geschrieben 16. Dezember 2015 Geht es denn, wenn Du das Computer-Object vorher löschst? Wenn ja, denke mal scharf nach ;) Erstellen <> Bearbeiten. wenn ich das objekt lösche, wird es durch den User neu erstellt, aber in der Standard-OU "Computer". Wenn ich die Rechte für die gewünschte OU "Server" bearbeiten möchte, hab ich nur die Möglichkeit zwischen "Computer-Objekt löschen" oder "Computer-Objekt erstellen". Das Recht zum bearbeiten finde ich jetzt nicht wirklich. Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Hi, mit "redircmp" kannst du bestimmen, wo neue Computerkonten landen sollen. Mit "redirusr" wäre das auch für die User machbar. Gruß Jan Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 16. Dezember 2015 Autor Melden Teilen Geschrieben 16. Dezember 2015 Hi, mit "redircmp" kannst du bestimmen, wo neue Computerkonten landen sollen. Mit "redirusr" wäre das auch für die User machbar. Gruß Jan Die Server landen immer in Unterschiedlichen OUs -> Server : Stanbdort A / Standort B / Standort C Dies wird alles durch ein Powershellscript geregelt. Mein neuer User muss jetzt nur das Recht haben, einen Server mit einem bestehendem AD-COmputerobjekt zu verbinden Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 16. Dezember 2015 Melden Teilen Geschrieben 16. Dezember 2015 Ich würde mal das Kennwort des Computerkontos zurücksetzen und das Konto deaktivieren. Danach nochmals testen. Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 17. Dezember 2015 Autor Melden Teilen Geschrieben 17. Dezember 2015 Ich würde mal das Kennwort des Computerkontos zurücksetzen und das Konto deaktivieren. Danach nochmals testen. 1. Wie soll ich beim Computerkonot das PW zurücksetzten ? Ein COmputerobjekt hat doch gar kein PW ? 2. Das Computerobjekt war ja deaktiviert, da ich den TEstserver aus der AD genommen habe um die Aufnahme mit dem neu erstellten User zu testen Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 (bearbeitet) Wieso hat ein Computer kein Kennwort? ;) Achso das war ne frage. Na dann: doch natürlich hat ein computerkonto ein Passwort. Wenn du ein bestehendes computerobjekt nutzen willst brauchst du andere Berechtigungen als cc dc. ;) bearbeitet 17. Dezember 2015 von NorbertFe Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 17. Dezember 2015 Autor Melden Teilen Geschrieben 17. Dezember 2015 (bearbeitet) Wieso hat ein Computer kein Kennwort? ;) Achso das war ne frage. Na dann: doch natürlich hat ein computerkonto ein Passwort. Ich kann das Konto zurücksetzen, aber kein Passwort. Ist auch egal, denn das behebt ja nicht das Problem mit den fehlenden Berechtigungen. Denn wenn ich erst das Konto zurücksetzen muss, wenn ich es per Skript erstellt habe, ist das auch umständlich, sofern ich das nicht direkt als letzten Schritt im Skript machen kann bearbeitet 17. Dezember 2015 von Kuddel071089 Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Ja, das Kennwort kannst du nicht wie beim User zurücksetzen. ;) trotzdem gibt's eins. Na so ganz versteh ich dein Problem nicht. Gib dem User eben die notwendigen Berechtigungen. Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Die Server landen immer in Unterschiedlichen OUs -> Server : Stanbdort A / Standort B / Standort C Dies wird alles durch ein Powershellscript geregelt. Mein neuer User muss jetzt nur das Recht haben, einen Server mit einem bestehendem AD-COmputerobjekt zu verbinden Naja, wenn man sich da von vornerein auf eine einheitliche Namenskonventionen einigt, kann man die Computerkonten in der mit redircmp umgeleiteten OU lassen und dann per Task an den gewünschten Ort verschieben. Alternativ benötigt der User wie geschrieben mehr Rechte. Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 17. Dezember 2015 Autor Melden Teilen Geschrieben 17. Dezember 2015 Naja, wenn man sich da von vornerein auf eine einheitliche Namenskonventionen einigt, kann man die Computerkonten in der mit redircmp umgeleiteten OU lassen und dann per Task an den gewünschten Ort verschieben. Alternativ benötigt der User wie geschrieben mehr Rechte. Wir verwenden natürlich eine Namenskonvention, nur ist das Computerobjekt ja schon erstellt, bevor ich den Server in AD aufnehmen möchte. Bleibt in meinen Augen also nur, dem User die entsprechenden Recht zu geben. Wobie ich nochmal hilfe benötige Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben 17. Dezember 2015 Melden Teilen Geschrieben 17. Dezember 2015 Schau mal ob das hilft: http://social.technet.microsoft.com/Forums/de-DE/active_directoryde/thread/99664013-ff49-4550-ac80-466070d73bf5#99664013-ff49-4550-ac80-466070d73bf5 http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/ Bye Norbert Zitieren Link zu diesem Kommentar
Beste Lösung Kuddel071089 9 Geschrieben 17. Dezember 2015 Autor Beste Lösung Melden Teilen Geschrieben 17. Dezember 2015 ich habe es jetzt über ein gpo eingestellt. jetzt geht es Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.