Lehrling-CH 10 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Hallo Zusammen Ich habe folgendes Problem: Ich habe einen W2k3 Server und XP Clients. Auf dem Server ist AD installiert und fast fertig eingerichtet. Ich möchte das ein Domänebenutzer einen Client erst in die Domäne einbinden kann, wenn der Computer im AD erfasst wurde. Ansonsten soll eine Eingindung verweigert werden. Jetzt meine Frage: Was für Group Policies muss ich dafür setzen. Ich habe es bereits mit, "Add Workstations to Domain" versucht, bis jetzt ohne erfolg. Für eine Antwort wäre ich Dankbar Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Das würde ich den Benutzern komplett verbieten (schon aus Sicherheitsgruünden): In der "Default Domain Controllers Policy" nach "Lokale Richtlinien/Überwachungsrichtlinie" suchen, Sicherstellen, dass bei "Hinzufügen von Arbeitsstationen zur Domäne" nur "Administratoren". Bedenke: Wenn "Hinz und Kunz" einen Benutzer-account auspäht, kann er sich nach belieben mit einem Laptop in Deine Domane einklinken. -Zahni Zitieren Link zu diesem Kommentar
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 Nein, ich glaube du verstehst das falsch. Der User kann nur einen Computer Client, lokal bei sich inzufühgen. Also bei sich unter Rechtsklick Arbeitsplatz -->Properties-->Computername und dort kann er seine Maschiene einbinden. Aber auch nur dann, wenn das Gerät im AD erfasst wurde. Zitieren Link zu diesem Kommentar
Hr_Rossi 10 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 hi also irgendwie verstehe ich auch nicht was du meinst ! Der User kann nur einen Computer Client, lokal bei sich inzufühgen. Also bei sich unterRechtsklick Arbeitsplatz -->Properties-->Computername und dort kann er seine Maschiene einbinden. Aber auch nur dann, wenn das Gerät im AD erfasst wurde. Also ist der Computer schon in der Dom. oder nicht !? Willst du einem User Rechte geben, das er einen Computer hinzufügen kann oder was ? Oder einen user Rechte geben den Comp aus der Dom. entfernen lg rossi Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Wenn Du dort auf "Ändern" klickts, wird der Computer zu Domäne hinzügt. Es wird eine Domänen-Computer-SID erzeugt und ein Computer-Kennwort festgelegt.. Egal, ob das Computerkonto vorher in der Domäne erzeugt wurde. Ohne die weiter oben beschriebene Änderung ist das jedem Benutzerkonto 10x erlaubt (habe ich mal auf einem MS-Sicherheitsseminar gehört). -Zahni Zitieren Link zu diesem Kommentar
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 Also nochmals, der Computer ist noch nicht in der Domäne eingebunden. Der User selber kann dann wieder über rechtsklick Arbeitsplatz etc. den Computer in die Domäne einbinden. Aber Nur wenn der Domäneadministrator den Computer im AD als Objekt hinzugefügt hat, sonst soll es verweigert werden. Zitieren Link zu diesem Kommentar
posterboy 10 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Hi, ich kann meine Clientcomputer nur mit einem Account aus der Gruppe der Admins (Domäne)hinzufügen. Mein W2K3 ist standartmäßig installiert. Ich habe keine weiteren GPO's. gruß posterboy Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Ist vielleicht Standard bei Windows 2003. Ich habe als Domänencontroller noch 2000 . Da ging es. -Zahni Zitieren Link zu diesem Kommentar
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 Ich kann das mitlerweile auch. Es wird in der Group Policy unter dem Schlüssel "Add workstations to domain" definiert. Wenn man jedoch vor der Einbindung, den Computer als Objekt in der Active Directory hinzufügt, sollten alle user den entsprechenden Client in die Domäne einbinden können. Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 ...Und das ist keine gute Idee (Sicherheit !) -Zahni Zitieren Link zu diesem Kommentar
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 lassen wir mal das thema sicherheit weg, dafür sorge ich schon noch. Mit geht es primär darum das ich dass hinkriege. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 "Lassen wir mal das Thema Sicherheit weg, dafür sorge ich schon noch." Die beste Aussage, um als Admin durch eine verantwortungsvolle Geschäftsführung sofort entlassen zu werden. Zitieren Link zu diesem Kommentar
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 Hat mir diese Aussage weitergeholfen? Gibt es nun eine Möglichkeit? Oder versteht ihr überhaupt, was ich machen will? Zitieren Link zu diesem Kommentar
zahni 550 Geschrieben 19. Juli 2005 Melden Teilen Geschrieben 19. Juli 2005 Villeicht haben wir immer noch nicht verstanden, was Du machen willst ? Schau Dir mal das Tool Netdom an. -Zahni Zitieren Link zu diesem Kommentar
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Teilen Geschrieben 19. Juli 2005 OK, ich versuchs nochmals... Also, Es existiert eine domäne welche Benutzer hat und Administrator. Wenn nun ein Benutzer einen PC z.B. einen Laptop von Zuhause mitnimmt und denn dann vom Laptop aus von Arbeitsgruppe auf Domäne wechseln will, geht das nicht (sollte es auch nicht). Wenn nun aber der Administrator das erlauben möchte, fügt er den Laptop Namen im AD ein. Nun sollte der Benutzer seinen Laptop von Arbeitsgruppe in die Domäne wechseln können. Ist es jetzt verständlich? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.