scotty23 10 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 Hallo, ein User in einer Aussenstelle hat an seinen zwei Rechnern das Kennwort für den lokalen Administrator. Diesen gibt es natürlich nicht in der AD Domaine. Nun haben wir festgestellt, dass der User mit seinem lokalen Admin neue Rechner in die Domaine hinzufügen kann ???? Wie ist das möglich oder besser gesagt wie kann ich das ver- hindern ??? Bin für jeden Tip dankbar scotty23 Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 Hallo, mir fallen da spontan zwei Ideen ein: 1.) Der lokale Admin hat zufällig dasselbe Kennwort wie der Dom-Admin. 2.) Der lokale Admin ist in der lokalen Gruppe Administratoren, die fälschlich in der Gruppe Domänen-Admins drin ist. Grüße Olaf Zitieren Link zu diesem Kommentar
aba 10 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 IMHO darf jeder Domänen-BENUTZER (!!!) 10 Computerkonten in der AD (Windows2000) erstellen. Jedenfalls müßte das so sein, wenn man es nicht expliziet abgeschaltet hat. Über Sinn und Unsinn kann man jetzt streiten, aber das hat MS so eingebaut.- Zitieren Link zu diesem Kommentar
Hacko 10 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 kannst du mir das mal schriftlich geben, sprich gibts da ein Whitepaper oder der gleichen von MS ?? Denn als Domänenbenutzer Konten zum AD hinzuzufügen, das würde mein Weltbild gründlich erschüttern Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 Ist einzustellen in den Benutzerrechten. ------------------------ Add workstations to domainDescription This security setting determines which groups or users can add workstations to a domain. This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain. Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory. Default: Authenticated Users on domain controllers. Configuring this security setting You can configure this security setting by opening the appropriate policy and expanding the console tree as such: Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\ For specific instructions about how to configure security policy settings, see To edit a security setting on a Group Policy object. Note Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right. ---------------------------------- Aus: http://www.microsoft.com/resources/documentation/WindowsServ/2003/datacenter/proddocs/en-us/Default.asp?url=/resources/documentation/WindowsServ/2003/datacenter/proddocs/en-us/563.asp grizzly999 Zitieren Link zu diesem Kommentar
scotty23 10 Geschrieben 11. Mai 2004 Autor Melden Teilen Geschrieben 11. Mai 2004 Versteht das jemand ??? Trotzdem Danke grizzly999 ich verstehs aber trotzdem nicht krass das Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 Zusammengefasst steht da: Es gibt in der Domäne auf der OU DomainController standardmäßig für die Gruppe Authentifizierte Benutzer das Recht, bis max. 10 Workstations in die Domäne aufnehmen. Das kann jeder in seiner AD-Domäne überprüfen und auch testen! Habe ich gerade mit einer jungfräulichen W2k3-Domäne und einem Otto-Normal-User überprüft. grizzly999 Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 11. Mai 2004 Melden Teilen Geschrieben 11. Mai 2004 Ah, I see the problem ;) Der Link. Ja ich weiss, ist bl ö d der Link. Man öffne im Link im linken Fenster die Auswahl Security/Security Configuration Manager/Concepts/Using Security Configuration Manager/Security Settings Description/Local Policies/User Rights Assignment Probierén wir mal den hier aus der MSDN: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/gp/526.asp oder http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/gp/526.asp oder der http://www.microsoft.com/resources/documentation/WindowsServ/2003/datacenter/proddocs/en-us/Default.asp?url=/resources/documentation/windowsserv/2003/datacenter/proddocs/en-us/526.asp grizzly999 Zitieren Link zu diesem Kommentar
scotty23 10 Geschrieben 12. Mai 2004 Autor Melden Teilen Geschrieben 12. Mai 2004 Hi grizzly999, vielen Dank, war nicht so, dass ich das Inhaltlich nicht verstanden habe sonder ehr nicht verstehe warum eine "normaler" User das Recht hat 10 Computer in eine AD Domaine zu integrieren. Das bedeutet doch, dass jeder User der im AD einen Account hat von zu Hause seinen Rechener mit bringt und den ins Firmennetz hängt. Da sag ich nur danke MS. Grüße Scotty23 Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 scotty, du kannst dir von zu Hause sogar beliebig viele Win95/ 98 Rechner mitnehmen und (im Normalfall) ans Netz hängen und erfolgreich damit arbeiten. cu blub Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 15. Mai 2004 Melden Teilen Geschrieben 15. Mai 2004 So ist es. Das bedeutet doch, dass jeder User der im AD einen Account hat von zu Hause seinen Rechener mit bringt und den ins Firmennetz hängt. Nicht ganz korrekt, auch wenn du damit "in die Domäne aufnehmen" meintest. Denn es bedeutet, dass jeder User max. 10 Computerkonten..... solange der Domänenadmin die Richtlinie nicht ändert. ;) grizzly999 Zitieren Link zu diesem Kommentar
scotty23 10 Geschrieben 4. Juni 2004 Autor Melden Teilen Geschrieben 4. Juni 2004 Wo kann ich die Richtlinien ändern ?? Ich habe unter Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\ die Administratoren hinzugefügt, wo muß ich denn nun den "normalen User" das hinzufügen verbieten ? Ich dachte es reicht, wenn ich den Administratoren das entsprechende Recht zu geben. thx scotty23 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 4. Juni 2004 Melden Teilen Geschrieben 4. Juni 2004 Hallo, Scotty! In welcher Richtlinie hast Du die Einstellung geändert? Wie Grizzly schon sagte, muß diese Einstellung in der Default-DOMAIN-CONTROLLERS-Richtlinie durchgeführt werden. Hier ist die Standard-Vorgabe "Authenticated Users". Du kannst z.B. die Domain-Admins hinzufügen und "Authenticated Users" entfernen, dann haben nur noch die Dom.-Admins das Recht Computer zur Domäne hinzuzufügen. Solltest Du die Admins in der Default-Domain-Policy hinzugefügt haben, Standard-Vorgabe war hier "Nicht definiert", so wird diese Richtlinie durch die Default-Domain-Controllers-Richtlinie wieder überschrieben (OU-Richtlinien haben Vorrang vor Domain-Richtlinien, sofern man nicht die Option "Kein Vorrang" aktiviert). Gruß Christoph35 Zitieren Link zu diesem Kommentar
scotty23 10 Geschrieben 7. Juni 2004 Autor Melden Teilen Geschrieben 7. Juni 2004 Danke Christoph35 , wer lesen kann ist klar im Vorteil ..... War in der falschen Richtlinie. ciao scotty23 Zitieren Link zu diesem Kommentar
Stoertebeker 10 Geschrieben 7. Juni 2004 Melden Teilen Geschrieben 7. Juni 2004 Hi Ihr, im OP war die Rede davon, dass der User nach Anmeldung als lokaler Admin Computerkonten erstellen kann. Damit faellt der doch aber nicht unter 'authenticated users'? Oder gilt das nicht nur für die Domäne, sondern sogar für lokal angemeldete Benutzer? Stoertebeker Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.