Domänen austritt verhindern GPO

[dadadum 10]

Hi

 

weiß jemand wo die einstellung zu finden ist das benutzer die Admin rechte auf einzelnen Rechnern haben, diese nicht aus der Domäne nehmen können?

 

ich konnte sie leider nicht finden.

 

Gibt es so eine option überhaupt? wenn nicht weiß jemand ein template oder so mit dem man das lösen kann?

 

 

PS: Boardsuche ergibt nichts, ebensowenig wie die deja.com suche. (allerdings weiß ich auch nciht so genau nach was suchen ;))

 

 

thx

dadadum

[Hr_Rossi 10]

hi

 

ah...

 

wenn ich mich nicht irre kan ein lokaler administrator den computer nicht aus der domäne entfernen !

Sondern nur der Domain Admin oder übergestellte !!

 

lg

[dadadum 10]

naja möglich das das object in der alten domäne bleibt aber er kann ihn in die arbeitsgruppe aufnehmen, bzw in ein neue sofern er in der neuen Domain admin ist.

 

und das sollte verhindert werden.

[lefg 276]

Hallo,

 

wie war denn das bei einer Domän auf 2k(3)? Kann da nicht jeder User, der auf seinem Rechner lokaler Admin ist, diesen der Domän hinzufügen ohne Rechte eines Domänenadmins?

Gibt es nicht eine Gruppenrichtlinie, diese Möglichkeit zu deaktivieren?

Müsste damit nicht auch das Entfernen eines Hosts aus einer Domäne verhinderbar sein?

 

Gruß

 

Edgar

[dadadum 10]

nö zum hinzufügen hat rossi schon recht da muss man domänen admin sein.

 

das problem ist das die lokalen admins ja einfah den rechner in arbeitsgruppe xy aufnehmen können und damit nicht mehr in der domäne sind ;(

 

also müsste man eine gpo finden die eben dieses verbietet.

Soweit so gut; Das problem: Ich finde selbige nicht ;)

[lefg 276]

Erzähl doch mal, was für eine Domäne ist es denn? NT, 2k, 2k3, ....?

Haben die lokalen Administratorkonten eventuell ein identisches PW wie das der Domäne?

[dadadum 10]

2k3 der, bzw die clients um die es geht sind WinXP´s

[Christoph35 10]

Hi,

 

jeder Domain-User hat per Default das Recht, 10 Rechner der Domain hinzuzufügen. Man kann das per GPO ändern.

 

Ich wüsste aber keine Richtlinie, die es einem lokalen Admin untersagt, den Rechner aus der Domain zu entfernen. Es gibt zwar wohl ne Meldung, dass das Computerkonto nicht entfernt werden konnte, aber der Rechner ist hinterher kein Domain-Member mehr und das Computerkonto in der Domain ist verwaist.

 

Christoph

[dadadum 10]

hm - Schade eigentlich.

[lefg 276]

Ich habe das auch noch mal nachgesehen. man kriegt das Ding tatsächlich raus, es wird nicht das PW eine Administrators der Domäne benötigt.

In der lokalen Rili von XP habe ich unter Zuweisen von Benutzerrechten auch keine Option zur Verhinderung entdecken können.

[dadadum 10]

Jap so gings mir auch und in den Domain Gpos ebensowenig

aber danke für die mühe

[lefg 276]

Ich hatte da auch noch einen Patch für die WS im Hinterkopf, kann aber keinen Hinweis darauf finden, irre mich wahrscheinlich.

Ausserdem: Ein Admin ist ein Admin ist ein Admin.... Ein lokaler ist eben Herr über den Rechner.

[dadadum 10]

Naja mir würde ja schon reichen wenn sie sich die rechte dafür wieder zurückholen könnten, aber es grundsätzlihc halt nicht funktioniert (menüüunktausgegraut oder what ever)

[robotto7831a 10]

Ich habe mal eine Frage: Wenn jemand an seinem PC lokale Adminrechte hat, dann hat es doch bestimmt einen guten Grund. Und wenn er der Meinung ist, dass er den PC aus der Domäne nehmen muss warum auch immer dann bitte schön. Er soll sich aber hinterher nicht beschweren das was nicht funktioniert.

 

Frank

[dadadum 10]

@palvoelgyi im prinzip hast du recht, nur das es am ende doch wieder mein problem ist, und das die praxis zeigt das "ein guter Grund" nicht für jeden das gleiche ist ;=)