Jump to content

Einschränken der OU Computers


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo

 

Ich habe folgende Frage, ich möchte die standardmässige OU Computers so einschränken, dass wir Computer in die Domäne nehmen können, aber dannach nicht mehr viel läuft, so dass wenn sich der Computer in der OU Computers befindet, er wir ausgeschlossen ist, bis wir ihn aus dieser OU verschieben.

 

Hat jemand bereits so etwas gemacht? Vielen Dank...

Link zu diesem Kommentar

es geht darum, weil im w2k3 haben ja user das recht 10 computer in die domäne zu nehmen...!

wir haben bei uns entwickler und wir wollen es merken, wenn sie eine neue maschine in die domäne nehmen, so merken wir gar nichts...!

 

dann könnten wir den Computer in die richtige OU schieben und ihm bereits am start eine beschreibung geben, ansonsten herscht in der ad ein chaos...!

 

und ich möchte nicht noch eine ou bauen und dann alle computer aus dem CONTAINER computers manuell verschieben müssen...!

Link zu diesem Kommentar

Servus,

 

Ich habe folgende Frage, ich möchte die standardmässige OU Computers so einschränken, dass wir Computer in die Domäne nehmen können, aber dannach nicht mehr viel läuft, so dass wenn sich der Computer in der OU Computers befindet, er wir ausgeschlossen ist, bis wir ihn aus dieser OU verschieben.

 

das ergibt keinen Sinn, denn wer darf denn das Computerkonto verschieben?

Richtig, der Administrator bzw. derjenige, der die entsprechenden Berechtigunen delegiert/eingerichtet bekommen hat und nicht der Benutzer. Einen Administrator zu "beschneiden" macht überhaupt keinen Sinn, denn dieser kann sich die Rechte wieder holen.

 

Ein Admin ist nunmal ein Admin.

Link zu diesem Kommentar
es geht darum, weil im w2k3 haben ja user das recht 10 computer in die domäne zu nehmen...!

 

Das ist nicht erst seit Windows Server 2003 so, sondern seit Windows NT.

 

wir haben bei uns entwickler und wir wollen es merken, wenn sie eine neue maschine in die domäne nehmen, so merken wir gar nichts...!

 

Dann nehme den Entwicklern das Recht, Clients zur Domäne hinzufügen zu können.

Ich halte es ohnehin als Risiko, die authentifizierten Benutzer in der GPO bestehen zu lassen. Imho gehören die dort raus.

 

Yusuf`s Directory - Blog - Clients in die Domäne hinzufügen

 

dann könnten wir den Computer in die richtige OU schieben und ihm bereits am start eine beschreibung geben, ansonsten herscht in der ad ein chaos...!

 

Wie gesagt, es sollten ohnehin nur autorisierte Benutzer dieses Recht haben und das sind nunmal die IT-Leute. Alle anderen haben damit nichts zu tun.

 

und ich möchte nicht noch eine ou bauen und dann alle computer aus dem CONTAINER computers manuell verschieben müssen...!

 

Brauchst du auch nicht. Entferne die authentifizierten Benutzer aus der GPO oder trage im Attribut MS-DS-Machine-Account-Quota als Wert "0" ein. Denn dann können die auth. Benutzer ebenfalls keine Clients mehr zur Domäne hinzufügen.

Link zu diesem Kommentar

ja unsere entwickler sind ein bisschen seltsame leute :) die wollen alles können...! ist ein heikles thema...! ja dann muss es halt so bleiben wie es ist...!

 

ich wollte eigentlich das es so funktioniert, wenn sie einen computer reinnehmen, dass sie mich kontaktieren müssen, damit ich den computer in die richtige ou schieben kann und zugleich eine beschreibung drauflegen kann...

 

aber ja... in dem fall geht es nicht...

Link zu diesem Kommentar
  • 2 Monate später...

Ich hätte da mal noch eine Anregung oder besser eine Frage: Bei uns in der Firma ist es auch so, nur haben wir hier die Problematik, dass die Computer im Container "Computers" nicht der Firmenrichtlinie unterworfen sind. Da wir sie von Hand verschieben, aber nicht immer jeder Kollege daran denkt, hätte ich gerne eine Möglichkeit, die verhindert, sich an einem Rechner anzumelden, der noch im Container "Computers" ist. So weiss ein Kollege gleich "ach ja, vergessen den Rechner im AD zu verschieben". Gibt es da eine Möglichkeit? Ist die Lösung?

Link zu diesem Kommentar

Salut,

 

Gibt es da eine Möglichkeit?

 

ändere doch den Speicherort der Computerobjekte mit REDIRCMP.

Wenn ein Client zur Domäne hinzugefügt wird, wird das Computerkonto-Objekt automatisch im Container CN=Computers erstellt.

Mit REDIRCMP kannst du den standard Speicherort für die Computerobjekte ändern. Wie das geht, steht in diesem Artikel:

 

Redirecting the users and computers containers in Windows Server 2003 domains

 

 

P.S. Auch kann man mit REDIRUSR den Speicherort von Benutzerkonten ändern.

Steht ebenfalls in dem Artikel.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...