nadinsche 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Hallo liebe Boardianer, ich habe hier ein Windows2003 Netzwerk am Laufen und habe ein Problem, wenn ich neue Arbeitsstaionen an die Domäne anbinden möchte. Die Anbindung sollen bestimmte Benutzer machen dürfen, das klappt aber nicht, sie bekommen immer die "Zugriff verweigert"- Meldung. Mitglieder von der Administratoren-Gruppe können das, ich will aber, dass bestimmte Benutzer das auch dürfen können :) Das habe ich bisher getan: In der Default Domain Policy habe ich in der Computerkonfirguration ==> Window-Einstellungen==>Sicherheitseinstellungen==>Lokale Richtlinen==>Zuweisen von Benutzerrechten das Recht "Hinzufügen von Arbeitsstationen zur Domäne" an bestimmte Benutzer vergeben, leider ohne Erfolg Die Richtlinie ist nirgendwo anders gesetzt. Ich dachte, standardmäßig dürfen Benutzer bis zu 10 Computer an die Domäne anbinden? Aber nicht einmal die Default-Einstellung hat das zugelassen. Habe ich da was in den Tiefen übersehen? Danke euch Allen und viele Grüsse Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Hallo, und willkommen an Board! :) In der Default Domain Policy habe ich in der Computerkonfirguration ==> Window-Einstellungen==>Sicherheitseinstellungen==>Lokale Richtlinen==>Zuweisen von Benutzerrechten das Recht "Hinzufügen von Arbeitsstationen zur Domäne" an bestimmte Benutzer vergeben Das ist korrekt. Hast Du auch mal ein gpupdate /force ausgeführt, damit die neue Einstellung auch wirksam wird? Zusatzfrage: um was für Clients handelt es sich? XP, 2000 Pro? Christoph Zitieren Link zu diesem Kommentar
nadinsche 10 Geschrieben 28. Februar 2006 Autor Melden Teilen Geschrieben 28. Februar 2006 Das ist mal eine prompte Antwort ;) Ja, das habe ich schon versucht, hat aber leider nicht geholfen. Ich denke, das Problem besteht schon länger, bisher haben halt immer Administratoren die PC's in die Domäne gehievt, nun sollens auch best. Benutzer können :) Die Gruppenrichtlinie wird von Domänencontrollern, Authentifizierte Benutzer und Domänen-Admins glaube ich übernommen. Müsste ich nochmal nachschauen. Habe ich hier vielleicht was falsch gesetzt? Viele Grüsse nadinsche Zitieren Link zu diesem Kommentar
nadinsche 10 Geschrieben 28. Februar 2006 Autor Melden Teilen Geschrieben 28. Februar 2006 Halt, habe die Zusatzfrage vergessen.... Clients bestehen nur aus XP SP2, der Server ist ein Windows Server 2003 mit SP1 Zitieren Link zu diesem Kommentar
mailkilla 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Hast du bei so einem User schon mal geprüft welche Gruppenrichtlinien ziehen, zb. mit gpresult.exe? lg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Es muss die Default Domain Controllers Policy sein. Diese Policy ist höher in der Priorität als die Default Domain Policy. Dort sind standardmässig die Authentifizierten Benutzer eingetragen, es darf jeder User 10 Computer der Domäne zufügen (sofern die Computerkonten nicht vorher angelegt wurden) http://technet2.microsoft.com/WindowsServer/en/Library/7207aa3e-d95d-4176-a1ca-bc629f1ca6981033.mspx Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 @mailkilla: nadinsche hat das in der Default Domain Policy gesetzt, die sollte auf jeden Fall übernommen werden... @nadinsche: Probier doch mal, was passiert, wenn Du die User, die Clients in die Domain aufnehmen können sollen, in eine OU verschiebst, ggf. Sub-OU, damit andere Settings wirksam bleiben, und auf diese neue OU eine Delegierung dieses Rechts durchführst. Klappt es dann? Christoph Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Wenn es in Default Domain Controllers Policy gesetzt wird, wird es nicht übernommen und standardmässig wird es dort gesetzt ... Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 @mailkilla: nadinsche hat das in der Default Domain Policy gesetzt, die sollte auf jeden Fall übernommen werden... Nein, IT-home hat recht, dass ist eine Sache der Def.Dom.Contr. Policy, und da steht schon was drin, also ist seine GPO wertlos ;) grizzly999 Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Jo, stimmt, habs grad noch mal schnell nachgeschaut... Ich hatte nicht daran gedacht, dass das in der Controllers Policy schon belegt ist... Nichtsdestotrotz kann nadinsche natürlich mit einer Delegierung des Rechts auf den Computers Container oder eine neue OU für Computerkonten diese Einstellung überschreiben. Dann können auch mehr als 10 Computerkonten hinzugefügt werden. Christoph Zitieren Link zu diesem Kommentar
nadinsche 10 Geschrieben 28. Februar 2006 Autor Melden Teilen Geschrieben 28. Februar 2006 Danke für die zahlreichen Antworten :) Ich werde morgen vormittag noch einmal die Richtlinien überprüfen und auch eine neue Sub-OU erstellen, wie von euch vorgeschlagen. Ich werde euch dann morgen berichten, ob ich es hingekriegt habe ;) Viele Grüssse nadinsche Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Keine Sub-OU, entweder direkt in der Default Domain Controllers Policy oder ein neues GPO in die Domain Controllers OU linken, diesen Punkt einstellen und dieses GPO nach oben schieben ... Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 @IT-Home: • Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right Darauf habe zumindest ich mich mit meiner Anmerkung bezogen... /edit: noch ne Anmerkung: wenn Du das Recht für die Erstellung von Computerkonten per Delegierung vergibst, und das ganze über eine neue OU für Computerkonten, musst Du vorher noch mit "redircmp" arbeiten, damit neue computerkonten automatisch in der erstellten OU erzeugt werden, siehe hier. Christoph Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 Kann ein User, der ein Computerkonto in einem Container erzeugen kann, auch die entsprechende Workstation der Domäne zufügen ? Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 28. Februar 2006 Melden Teilen Geschrieben 28. Februar 2006 So würde ich den ersten Satz meines Zitats jedenfalls verstehen. Aber kann schon sein, dass es nur in verbindung mit der Policy funktioniert... Müsste man mal testen... Christoph Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.