reservoirdog 10 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Hallo Zusammen, kenn jemand eine Möglichkeit, wie man in der ADS lediglich einem einzigen DomAdmin das Recht zuweist Computerkonten zu erstellen ? Die anderen sollen es nicht mehr dürfen ! Zitieren Link zu diesem Kommentar
Kraftzwerg 10 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Soweit mir bekannt ist düfte das nicht ohne weiteres möglich sein. Schließlich hat ein Domänenadmin nicht umsonst gewisse Rechte. Wenn die User einen Teil dieser Rechte nicht haben sollen, würde ich sie auch nicht zum DomAdmin machen. Erstelle anderen User mit den Rechten die die User haben sollen und weise sie den OUs zu (Delegierungsassistent). Aber soweit ich weiß kann per Default ohnehin jeder User 10 Clients in die Domäne (in den Standardcontainer) aufnehmen. Gruß Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Hi, wozu sind die Mitarbeiter dann Domänen Admins ? :confused: Zitieren Link zu diesem Kommentar
reservoirdog 10 Geschrieben 6. Februar 2009 Autor Melden Teilen Geschrieben 6. Februar 2009 ok, das hab ich verstanden. Kann ich denn wenigstens kontrollieren, werden PC in die Domäne aufgenommen hat ? Würde mir vielleicht schon reichen. vielen dank im voraus – @xp Fan: Nein, es handelt sich um meine Admin Kollegen, die aus verarbeitungstechnischen Gründen die Rechte benötigen. Das Problem ist, dass ich dafür Hauptverantwortlicher bin und die Kollegen immer "wilde Sau" spielen, so dass die meine ADS irgendwann wieder wie der letzte Mülleimer aussieht. :rolleyes: Zitieren Link zu diesem Kommentar
babbage 10 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Bin mir jetzt nicht ganz sicher, aber ich glaube dass unter den sicherheitseinstellungen in der ACL des Computerkontos, der Benutzer auftaucht, der in erstellt hat. Sicherheitseinstellungen werden per default nicht angezeigt, also musst du im die Ansicht auf Advanced stellen. mfg Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 ok, das hab ich verstanden. Kann ich denn wenigstens kontrollieren, werden PC in die Domäne aufgenommen hat ? Würde mir vielleicht schon reichen.vielen dank im voraus – @xp Fan: Nein, es handelt sich um meine Admin Kollegen, die aus verarbeitungstechnischen Gründen die Rechte benötigen. Das Problem ist, dass ich dafür Hauptverantwortlicher bin und die Kollegen immer "wilde Sau" spielen, so dass die meine ADS irgendwann wieder wie der letzte Mülleimer aussieht. :rolleyes: Admin = Admin = Admin. Du kannst einem DomänenADmin das Recht nicht vernünftig entziehen. Also wirst du dir wohl die Fragen stellen lassen müssen, welche AUfgaben deine Kollegen denn haben, damit sie DOMÄNENAdmin sind. Die administrieren also alle die Domäne und können sich nicht an Vorgaben hinsichtlich Computerkonten halten? Ganz ehrlich? Schon komische Kollegen die du da hast ;) Bye Norbert Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Dann bleibt wohl nur übrig, den Kollegen aus der Gruppen Domain Admins zu entfernen und die benötigten Rechte per Delegierung zu vergeben, wie Kraftzwerg schon schrieb. Imho kann man über eine Policy einstellen, wieviele Computerkonten ein normaler User erstellen kann. Christoph Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Imho kann man über eine Policy einstellen, wieviele Computerkonten ein normaler User erstellen kann. Man kann es einstellen, aber nicht über eine Policy. Bye Norbert Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Doch, es gibt eine Policy: Computer Settings/.../Local Policy/User Rights Assignment/Add Workstations to domain. Wenn die nicht definiert ist, darf jeder authentifizierte Benutzer als Standard-Einstellung 10 Workstations hinzufügen. Davon unberührt, kann jeder Workstations joinen, dem dieses Recht per Delegierung erteilt wurde. Christoph Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Doch, es gibt eine Policy: Computer Settings/.../Local Policy/User Rights Assignment/Add Workstations to domain. Wenn die nicht definiert ist, darf jeder authentifizierte Benutzer als Standard-Einstellung 10 Workstations hinzufügen. Davon unberührt, kann jeder Workstations joinen, dem dieses Recht per Delegierung erteilt wurde. Christoph Falsch. Damit definierst du, wer die Computer aufnehmen kann. Die Anzahl spielt keine Rolle dabei. Bye Norbert Zitieren Link zu diesem Kommentar
Christoph35 10 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Ok, ich hatte mich im meinem vorletzten Post falsch ausgedrückt :o, aber auf diese Policy wollte ich hinaus. Die Anzahl wird über das Attribut ms-DS-MachineAccountQuota gesetzt, siehe http://support.microsoft.com/kb/243327/en-us Christoph Zitieren Link zu diesem Kommentar
NorbertFe 2.013 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Ok, ich hatte mich im meinem vorletzten Post falsch ausgedrückt :o, aber auf diese Policy wollte ich hinaus. Die Anzahl wird über das Attribut ms-DS-MachineAccountQuota gesetzt, siehe Default Limit to Number of Workstations a User Can Join to the Domain Christoph Die Quota gilt aber afaik nicht mehr, wenn du das Recht delegierst ;) Womit man das Problem auch gleich richtig angehen könnte. Jetzt aber Schluß, denn der TO meldet sich schon gar nicht mehr. Bye Norbert Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 6. Februar 2009 Melden Teilen Geschrieben 6. Februar 2009 Die Quota gilt aber afaik nicht mehr, wenn du das Recht delegierst ;) So isses. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.