Jump to content

Domain beitritt verhindern


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Können Rechner von sich aus einer Domain betreten?

 

Ich kenne nur die Möglichkeit des Hinzufügens durch User. Und da ist auch der Ansatz zu suchen, in der Gruppenrichtlinie den Usern, Gruppen das Recht dazu nehmen!

 

Oder geht es tatsächlich explizit darum, zu verhindern, das ein berechtigter User einen ganz bestimmten Rechner (Rechnername) einer Domäne hinzufügt?

Link zu diesem Kommentar

Moin muck06,

 

Was ist für dich ein Rechner?

Solange ein PC der Domäne nicht beigetreten, gibt es auch kein AD-Objekt dafür u. dann natürlich auch kein Richtlinie greifen. Damit man für ihn irgendwas regelt. (erlaubt/verweigert)

 

Grundsätzlich sollte man bei solchen Problemstellungen imho eine Ebene tiefer ansetzen =>

- Wer darf ins Netzwerk rein

- Wer bekommt eine IP-Adresse

 

EDIT: Bilde doch VLAN´s mit MAC-Adressenfilter

 

LG Gadget

Link zu diesem Kommentar

ich denke das muck06 sich nicht richtig bzw. unklar ausdrückt. es geht wohl gar nicht darum den rechner in die domäne als solches aufzunehmen.

 

Ich kann dem User die Rechte einen PC in die Domain hinzuzufügen nicht nehmen, da dieser in allen Abteilungen verwendet wird

 

wenn ein rechner einmal in der domäne ist dann ist dieser rechner in der domäne und da ist es egal in wie vielen abteilungen er verwendet wird.

 

ich vermute du möchtest verhindern das dieser rechner ins netz kommt wenn er von den softwaretestern verwendet wird...?

Link zu diesem Kommentar

So ist das.

 

Es gibt einen User "admin" der berechtigt ist PC in die Domain aufzunehmen. (Das sollte eigentlich auch so bleiben).

 

Dieser User, mit dem dazugehörigen Passwort, ist allerdings den Softwaretestern bekannt, sodas diese in der Lage sind ihre PC´s in die Domain einzubinden. Was trotz Anweisung dies nicht zu tun manchmal vorkommt, da das i.d.R Studenten sind, und die auch dauernd wechseln, kommt das halt immer wieder vor.

 

Problem:

Nehme ich dem Admin dieses Recht, können auch die, denen das erlaubt sein soll keinen PC mehr in die Domain einbinden.

Die Softwaretester brauchen den Admin allerdings um auf Bereiche im Netzwerk zuzugreifen auf denen Daten und Programme liegen die sie benötigen. (Historisch bedingt)

 

Deshalb hab ich gedacht, da ich die Rechner die nicht in die Domain dürfen kenne, verweigere ich das einfach. (wenn es ohne großen Aufwand gehen würde)

Link zu diesem Kommentar

Servus Edgar,

 

Du kannst mal etwas versuchen. Erzeuge im AD Benutzer und Computer im Container Computer ein Computerkonto mit dem Namen des Rechners!

 

was soll das bringen?

Ein Authentifizierter Benutzer darf standardmäßig bis zu 10 Client in die Domäne hinzufügen. Den 11. Client kann der Benutzer dann nicht mehr in die Domäne hinzufügen.

Erstellt aber nun der Domänen-Admin (oder einer der das Recht hat) das Computerkonto im AD, so kann der Benutzer den Client in die Domäne hinzufügen da das Computerkonto bereits in der Domäne existiert.

Link zu diesem Kommentar

Grüzzi Yusuf,

 

er könne mal etwas versuchen, das war meine Eingebung, folgendes aus meiner Erinnerung dazu: Ein Client einer Domäne gab den Geist auf, er fiel raus, das Konto im AD blieb bestehen. Der Rechner wurde neu installiert mit dem selben Namen und versucht zu joinen. Das wurde abgewiesen, ein Konto mit dem Namen existiere bereits, in dem Sinne.

 

Gruß

 

Edgar

Link zu diesem Kommentar
Grüzzi Yussuf,

 

Ein "s" reicht aus ;) .

 

er könne mal etwas versuchen, das war meine Eingebung, folgendes aus meiner Erinnerung dazu: Ein Client einer Domäne gab den Geist auf, er fiel raus, das Konto im AD blieb bestehen. Der Rechner wurde neu installiert mit dem selben Namen und versucht zu joinen. Das wurde abgewiesen, ein Konto mit dem Namen existiere bereits, in dem Sinne.

 

Ahh ok, jetzt kann ich deinen Gedankengang nachvollziehen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...