deadofnight 10 Geschrieben 17. November 2004 Melden Teilen Geschrieben 17. November 2004 Entgegen vieler Threads die ich zu diesem Thema gefunden habe - habe ich genau das gegenteilige Problem... Vielleicht könnt Ihr mir helfen ?? Ich betreibe eine Domäne mit 3 Windows 2003 Servern. Daran hängen ca. 20 Windows 2000 Client inkl SP4 und allen aktuellen Patches (benutze hierfür SUS). Die Benutzer sind alle "normale" Domänen-Benutzer und arbeiten mit lokalen Hauptbenutzer-Rechten. Soweit so gut. Gestern habe ich einem Kollegen einen Testrechner zur Verfügung gestellt, welcher nicht in die Domäne mit aufgenommen werden sollte (Der User benötigt Admin-Rechte auf dem Testrechner). Nach einer halben Stunde bat mich dieser Kollege um Hilfe, da die Soundkarte Probleme machte. Dabei fiel mir dann (mit weit aufgerissenen Augen) auf, das der Rechner zum Domänen-Mitglied geworden war. Das AD bestätigte mir dies. Auf die Frage hin wie er das geschafft hat, sagte er: ich habe bei der Benutzerabfrage einfach meinen Account genommen - das hat funktioniert". Danach war ich noch mehr geschockt und probierte es promp mit einem anderen Rechner und einem anderen "normalen" User aus - das geht tatsächlich !!! * Wo steckt mein Sicherheitsleck ? Ich mache mir echt Sorgen ! Habe bereits alle Gruppen auf Admin-Zugehörigkeit überprüft - aber das scheint es nicht zu sein... Vielen, vielen Dank für Eure Hilfe im voraus... Zitieren Link zu diesem Kommentar
buccaneer2003 10 Geschrieben 17. November 2004 Melden Teilen Geschrieben 17. November 2004 Das ist die default Einstellung des AD. Die Gruppe "Authentifizierte Benutzer" hat das Recht 10 Computer der Domäne hinzu zufügen. Abstellen kann man über die Default Domain Controller Policy. Dort ist definiert wer Arbeitssationen der Domäne hinzufügen darf. (Default=Authentifizierte Benutzer) Es gibt auch eine andere Einstellung im AD an die man nur mit ADIEdit ran kommt in der man die Anzahl der Computer verringern oder erhöhen kann, die der Domäne hinzugefügt werden drüfen. Der Key ist mir leider entfallen. Zitieren Link zu diesem Kommentar
buccaneer2003 10 Geschrieben 17. November 2004 Melden Teilen Geschrieben 17. November 2004 Also: ADSIEdit - Domänen Partition - Domäne auswählen - Eingeschaften ms-DS-MachineAccountQuota suchen und ändern (Default ist 10) P.S. Ich hab's nicht so gemacht, sondern mit der Default Domain Controller Policy Zitieren Link zu diesem Kommentar
deadofnight 10 Geschrieben 17. November 2004 Autor Melden Teilen Geschrieben 17. November 2004 1000 Dank für die schnellen Antworten !! Ich war echt schon ganz durcheinander... Klingt logisch, das man das in der "DefaultDomainPolicy" einstellt. Könnt Ihr mir auch noch verraten, in welchem Schlüssel ? Danke und Grüsse aus dem veregneten HH Zitieren Link zu diesem Kommentar
buccaneer2003 10 Geschrieben 17. November 2004 Melden Teilen Geschrieben 17. November 2004 Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Zuweisen von Benutzerrechten - "Hinzufügen von Arbeitsstationen zu Domäne" Zitieren Link zu diesem Kommentar
deadofnight 10 Geschrieben 17. November 2004 Autor Melden Teilen Geschrieben 17. November 2004 Original geschrieben von buccaneer2003 Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Zuweisen von Benutzerrechten - "Hinzufügen von Arbeitsstationen zu Domäne" Vielen Dank nochmals !! Jetzt ist alles wieder gut :) Warum dort als default "Authentifizierte Benutzer" drin steht werde ich zwar nicht verstehen weil es sich in meinen Augen um ein Sicherheitsloch handelt, aber was solls... Greetz deadofnight Zitieren Link zu diesem Kommentar
buccaneer2003 10 Geschrieben 17. November 2004 Melden Teilen Geschrieben 17. November 2004 Die selbe Frage habe ich auch mal in einer Microsoft Newsgroup gestellt und die Antwort war, dass man sich ein Unternehmen mit 5000 Computern vorstellen soll. Da hat der Domänen Admin andere Sachen zu tun als sich um so einen SCH*** zu kümmern. :rolleyes: Zitieren Link zu diesem Kommentar
deadofnight 10 Geschrieben 17. November 2004 Autor Melden Teilen Geschrieben 17. November 2004 Original geschrieben von buccaneer2003 Die selbe Frage habe ich auch mal in einer Microsoft Newsgroup gestellt und die Antwort war, dass man sich ein Unternehmen mit 5000 Computern vorstellen soll. Da hat der Domänen Admin andere Sachen zu tun als sich um so einen SCH*** zu kümmern. :rolleyes: klar hat der Admin nie Zeit, weil er ständig am "flicken" von DomainControllern beschäftigt ist :D Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.