Jump to content
Sign in to follow this  
muck06

Domain beitritt verhindern

Recommended Posts

Können Rechner von sich aus einer Domain betreten?

 

Ich kenne nur die Möglichkeit des Hinzufügens durch User. Und da ist auch der Ansatz zu suchen, in der Gruppenrichtlinie den Usern, Gruppen das Recht dazu nehmen!

 

Oder geht es tatsächlich explizit darum, zu verhindern, das ein berechtigter User einen ganz bestimmten Rechner (Rechnername) einer Domäne hinzufügt?

Share this post


Link to post
Share on other sites

Ich kann dem User die Rechte einen PC in die Domain hinzuzufügen nicht nehmen, da dieser in allen Abteilungen verwendet wird, nur den Softwaretestern (haben zwar die Anweisung die Rechner nicht in die Domain einzufügen) wollte ich das verbieten. Naja dann gibts halt für die doch einen neuen User.

Share this post


Link to post
Share on other sites

Moin muck06,

 

Was ist für dich ein Rechner?

Solange ein PC der Domäne nicht beigetreten, gibt es auch kein AD-Objekt dafür u. dann natürlich auch kein Richtlinie greifen. Damit man für ihn irgendwas regelt. (erlaubt/verweigert)

 

Grundsätzlich sollte man bei solchen Problemstellungen imho eine Ebene tiefer ansetzen =>

- Wer darf ins Netzwerk rein

- Wer bekommt eine IP-Adresse

 

EDIT: Bilde doch VLAN´s mit MAC-Adressenfilter

 

LG Gadget

Share this post


Link to post
Share on other sites

Du kannst mal etwas versuchen. Erzeuge im AD Benutzer und Computer im Container Computer ein Computerkonto mit dem Namen des Rechners!

Share this post


Link to post
Share on other sites

ich denke das muck06 sich nicht richtig bzw. unklar ausdrückt. es geht wohl gar nicht darum den rechner in die domäne als solches aufzunehmen.

 

Ich kann dem User die Rechte einen PC in die Domain hinzuzufügen nicht nehmen, da dieser in allen Abteilungen verwendet wird

 

wenn ein rechner einmal in der domäne ist dann ist dieser rechner in der domäne und da ist es egal in wie vielen abteilungen er verwendet wird.

 

ich vermute du möchtest verhindern das dieser rechner ins netz kommt wenn er von den softwaretestern verwendet wird...?

Share this post


Link to post
Share on other sites

So ist das.

 

Es gibt einen User "admin" der berechtigt ist PC in die Domain aufzunehmen. (Das sollte eigentlich auch so bleiben).

 

Dieser User, mit dem dazugehörigen Passwort, ist allerdings den Softwaretestern bekannt, sodas diese in der Lage sind ihre PC´s in die Domain einzubinden. Was trotz Anweisung dies nicht zu tun manchmal vorkommt, da das i.d.R Studenten sind, und die auch dauernd wechseln, kommt das halt immer wieder vor.

 

Problem:

Nehme ich dem Admin dieses Recht, können auch die, denen das erlaubt sein soll keinen PC mehr in die Domain einbinden.

Die Softwaretester brauchen den Admin allerdings um auf Bereiche im Netzwerk zuzugreifen auf denen Daten und Programme liegen die sie benötigen. (Historisch bedingt)

 

Deshalb hab ich gedacht, da ich die Rechner die nicht in die Domain dürfen kenne, verweigere ich das einfach. (wenn es ohne großen Aufwand gehen würde)

Share this post


Link to post
Share on other sites
Es gibt einen User "admin" der berechtigt ist PC in die Domain aufzunehmen. (Das sollte eigentlich auch so bleiben
Warum?

Share this post


Link to post
Share on other sites

Servus Edgar,

 

Du kannst mal etwas versuchen. Erzeuge im AD Benutzer und Computer im Container Computer ein Computerkonto mit dem Namen des Rechners!

 

was soll das bringen?

Ein Authentifizierter Benutzer darf standardmäßig bis zu 10 Client in die Domäne hinzufügen. Den 11. Client kann der Benutzer dann nicht mehr in die Domäne hinzufügen.

Erstellt aber nun der Domänen-Admin (oder einer der das Recht hat) das Computerkonto im AD, so kann der Benutzer den Client in die Domäne hinzufügen da das Computerkonto bereits in der Domäne existiert.

Share this post


Link to post
Share on other sites

Grüzzi Yusuf,

 

er könne mal etwas versuchen, das war meine Eingebung, folgendes aus meiner Erinnerung dazu: Ein Client einer Domäne gab den Geist auf, er fiel raus, das Konto im AD blieb bestehen. Der Rechner wurde neu installiert mit dem selben Namen und versucht zu joinen. Das wurde abgewiesen, ein Konto mit dem Namen existiere bereits, in dem Sinne.

 

Gruß

 

Edgar

Share this post


Link to post
Share on other sites

@Sven

aus meiner Sicht besteht in deinem Hause ein anderes Problem, das heisst Useradmin. Wozu brauchen User bei euch Adminrechte? Ich kenne da natürlich verschiedene Szenarien.

Share this post


Link to post
Share on other sites
Grüzzi Yussuf,

 

Ein "s" reicht aus ;) .

 

er könne mal etwas versuchen, das war meine Eingebung, folgendes aus meiner Erinnerung dazu: Ein Client einer Domäne gab den Geist auf, er fiel raus, das Konto im AD blieb bestehen. Der Rechner wurde neu installiert mit dem selben Namen und versucht zu joinen. Das wurde abgewiesen, ein Konto mit dem Namen existiere bereits, in dem Sinne.

 

Ahh ok, jetzt kann ich deinen Gedankengang nachvollziehen.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...