Benutzer berechtigen PCs in Domäne aufzunehmen

[oeckbert 10]

Hallo zusammen,

 

ich habe folgendes kleines Problem.

 

Ich brauche einen User der die Berechtigung hat PCs in unsere Domäne aufzunehmen. Nun habe ich mich schon soweit informiert, dass dies wohl über die Funktion "Objektverwaltung zuweisen" in der AD funktioniert.

 

Dort muss ich dann wohl den User auswählen und ihm das Recht geben "Fügt einen Computer einer Domäne hinzu". Ist das soweit richtig?

 

Wenn ja, wie kann ich dem User das Recht eigentlich wieder wegnehmen? Ich finde nirgends eine Übersicht oder Option in der ich dem User das Recht wegnehmen kann.

 

Wäre super wenn mir jemand helfen könnte.

Gruß

[nawas 32]

Erstell doch einfach eine Gruppe die diese Berechtigung hat und nehm dann den User einfach wieder aus der Gruppe raus wenn er das nicht mehr mache soll.

 

Und wenns nur ein User ist der der für diese Zwecke hergenommen wird (und nicht als Arbeitsaccount fungiert) kannst du das ja im AD via rechtsklick auf dem User mit Account aktivieren/deaktivieren regeln.

[oeckbert 10]

Hi nawas,

 

jap das ist eine Idee - ist nur ein User und der wird nicht als "Arbeitsaccount" genutzt sondern nur für die automatisierte Installation genutzt.

[Sunny61 833]

Ich brauche einen User der die Berechtigung hat PCs in unsere Domäne aufzunehmen. Nun habe ich mich schon soweit informiert, dass dies wohl über die Funktion "Objektverwaltung zuweisen" in der AD funktioniert.

 

Out of the Box darf jeder User 10 Clients in die Domain aufnehmen.

[oeckbert 10]

Out of the Box darf jeder User 10 Clients in die Domain aufnehmen.

 

Ein normaler Benutzer kann PCs in die Domäne aufnehmen? OK, dass ist neu für mich. Aber da der Benutzer mehr als 10 PCs aufnehmen soll, da er für die automatisierte Installation von Windows genutzt wird, werde ich den Tip von nawas anwenden.

 

Wenn ich mit der Objektverwaltung zuweisen arbeite, ist der Punkt "Fügt einen Computer einer Domäne hinzu" doch der richtige, für den ich den User eintragen muss.

 

EDIT: habe die Info, wie man den Benutzer wieder entfernt, hier im Forum gefunden:

 

In dem Du in Active Directory Benutzer und Computer unter Ansicht die Erweiterten Funktionen anstellst, mit rechts auf den Container klickst und unter Sicherheit die Berechtigungen wieder entfernst ...

[Daim 12]

Servus,

 

das hier sollte helfen:

 

LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen

[oeckbert 10]

Servus Daim,

 

wenn ich das richtig verstehe, kann ich in der Default Domain Controller Policy

 

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\

Zuweisen von Benutzerrechten\Hinzufügen von Arbeitsstationen zur Domäne

 

die Authentifizierten Benutzer entfernen und nur die Admin Accounts hinzufügen. Da bei uns eben die Authentifizierten Benutzer noch drinnen stehen und ich sehr ungern User hätte die PCs in die Domäne aufnehmen können.

[lefg 276]

Tsate die DDP nicht an, erstelle eine neue Richtlinie für deinen Zweck!

[oeckbert 10]

Ok, werde die Finger davon lassen :)

 

Wie gehe ich dann sicher, dass die neue Richtline diese Option in der DDC Policy überschreibt?

[NorbertFe 2.283]

indem du sie in der richtigen Reihenfolge anbindest. ;)

 

Bye

Norbert

[Dukel 468]

Wenn in der DDP nichts konfiguriert ist muss auch nichts überschrieben werden.

[oeckbert 10]

In der DDP ist ja definiert das die Authentifizierten Benutzer Geräte in die Domäne aufnehmen können. Das soll ich aber nicht direkt in der DDP ändern sondern in einer neuen Richtlinie

[Dukel 468]

Nicht per Default. Wenn das bei dir drin steht hat das jemand manuell hinzugefügt und sollte dann aus der DDP entfernt werden.

 

EDIT:

Sorry. Hab in einem AD geschaut, bei dem das schon korrigiert wurde. Ich würde die Auth. User einfach aus der DDP entfernen.

[oeckbert 10]

Nun bin ich leicht verunsichert :)

Darf/soll man die DDC bearbeiten oder nicht? lefg meinte man soll sie nicht antasten ...

[Dukel 468]

Man soll vor allem nichts weiteres zur DDP hinzufügen. Dafür erstellt man extra GPO's. Aber die vorhandenen Einstellungen kann man schon anpassen (sonst darf man ja nie die Kennwortpolicy der Domäne auf eigene Bedürfnisse anpassen).