Computer zur Domäne hinzufügen (Delegierung)

[CoNtAcT2000 15]

Hallo Leute,

 

ich habe da mal eine Frage.

 

Wir möchten nicht mehr, dass unsere Techniker Kontenoperatoren sind und einfach Computer in die Domäne aufnehmen können - da die Konten dann unter Computers vor sich hin vegetieren bis sich jemand erbarmt hat die Konten in die entsprechende OU zu schieben.

 

- Wir haben ein Werkzeug mit dem die Techniker den Computernamen angeben können und das Tool legt dann ein Computerkonto in der passenden OU an.

 

- Danach können Sie die Maschine in die Domäne aufnehmen.

 

- Ich habe die DomainController Policy so abgeändert, dass nur Domain Admins und Techniker Computer zur Domäne hinzufügen dürfen.

 

Lege ich mit dem Tool einen neues Computerkonto an und versuche es mit einem Test-Techniker-Account in die Domäne aufzunehmen kommt "Zugriff-verweigert".

 

Ich möchte wissen, welche Rechte ich genau (da gibts ja 100 oder so) auf die OU delegieren muss damit Sie nur den Computer in die Domäne aufnehmen können - sonst keine weiteren Rechte.

 

Edit: Computerkonto erstellen und löschen habe ich bereits probiert, das reicht aber wohl nicht aus - es kommt danach immer noch Zugriff verweigert wenn ich versuche den PC aufzunehmen.

 

Kann mir das jemand sagen?

 

Danke im voraus!

bearbeitet 29. November 2012 von CoNtAcT2000
was vergessen

[Sunny61 773]

Vielleicht wäre REDIRECT für euch das richtige Werkzeug: Redirect Users and Computers

[NorbertFe 1.835]

Edit: Computerkonto erstellen und löschen habe ich bereits probiert, das reicht aber wohl nicht aus - es kommt danach immer noch Zugriff verweigert wenn ich versuche den PC aufzunehmen.

 

Na wenn du das Recht zur Computeraufnahme explizit entfernt hast, wirst du es wohl wieder dazu nehmen müssen. Sunnys Lösung dürfte wahrscheinlich aber der bessere Weg sein. Kann man auch sinnvoll kombinieren:

 

1. Redircmp auf OU=Computersperre,dc=deinedomain,dc=de

2. Gruppe anlegen (konto-admin1)

3. ms-DS-MachineAccountQuota auf 0 setzen

4. In der Default Domain Controllers Policy muß keine Änderung erfolgen: "Hinzufügen von Arbeitsstationen zur Domäne" bleibt weiterhin "Authentifizierte Benutzer"

5.

dsacls ou=Computersperre,dc=deinedomain,dc=de /I:S /G deinedomain\konto-admin1:CC;computer
dsacls ou=Computersperre,dc=deinedomain,dc=de /I:S /G deinedomain\konto-admin1:CA;"Reset Password";computer
dsacls ou=Computersperre,dc=deinedomain,dc=de /I:S /G deinedomain\konto-admin1:RPWP;"Account Restrictions";computer
dsacls ou=Computersperre,dc=deindomain,dc=de /I:S /G deinedomain\konto-admin1:WS;"Validated write to DNS host name";computer
dsacls ou=Computersperre,dc=deinedomain,dc=de /I:S /G deinedomain\konto-admin1:WS;"Validated write to service principal name";computer

 

6. Fertig. ;)

 

Bye

Norbert

[NilsK 2.795]

Moin,

 

Na wenn du das Recht zur Computeraufnahme explizit entfernt hast, wirst du es wohl wieder dazu nehmen müssen.

 

nein, in dem beschriebenen Verfahren muss das Recht nicht erteilt sein. Im Gegenteil, wenn es erteilt ist, ist das Tool-Verfahren nicht zu testen. Sobald jemand die ausdrückliche Berechtigung hat, an bestimmter Stelle im AD Computerkonten zu erzeugen, braucht er das Recht nicht.

 

Der Fehler in dem Verfahren wird an den Berechtigungen des Computer-Accounts liegen.

 

3. ms-DS-MachineAccountQuota auf 0 setzen

4. In der Default Domain Controllers Policy muß keine Änderung erfolgen: "Hinzufügen von Arbeitsstationen zur Domäne" bleibt weiterhin "Authentifizierte Benutzer"

 

wenn 3. ausgeführt wird, ist 4. wirkungslos ... ;)

 

Aus Gründen der einfacheren Dokumentation ziehe ich vor, ms-DS-MachineAccountQuota nicht zu ändern und dafür in der DefDomConPol das unter 4. genannte Recht niemandem zuzuweisen. Da beide Verfahren aber denselben Effekt haben, ist das letztlich Geschmackssache.

 

Eins wollt ich noch hinzufügen: Konten-Operatoren haben mit der Aufnahme von Computern nur am Rande zu tun - ist das Recht nach 4. gesetzt, dann darf das jeder. Konten-Operatoren dürfen vor allem Benutzerkonten anlegen, was viel kritischer ist.

 

Gruß, Nils

[NorbertFe 1.835]

Moin,

 

 

 

wenn 3. ausgeführt wird, ist 4. wirkungslos ... ;)

 

Ich weiß, das ist ja der Vorteil von 3., dass ich die Default Domain Policy in 4. nicht anpassen muß.

 

Aus Gründen der einfacheren Dokumentation ziehe ich vor, ms-DS-MachineAccountQuota nicht zu ändern und dafür in der DefDomConPol das unter 4. genannte Recht niemandem zuzuweisen. Da beide Verfahren aber denselben Effekt haben, ist das letztlich Geschmackssache.

 

Genau deswegen mach ich das nicht. ;)

 

Eins wollt ich noch hinzufügen: Konten-Operatoren haben mit der Aufnahme von Computern nur am Rande zu tun - ist das Recht nach 4. gesetzt, dann darf das jeder. Konten-Operatoren dürfen vor allem Benutzerkonten anlegen, was viel kritischer ist.

 

Kontenoperatoren sind vor allem vom AdminSDHolder geschützt und damit von Delegation sowieso nicht sinnvoll zu erfassen. ;)

 

Bye

Norbert

[CoNtAcT2000 15]

Danke für Eure Beiträge.

 

Ich habe nun auf die OU´s mit den Computerkonten die Gruppe der Techniker mit den folgenden Einstellungen hinzugefügt und es klappt nun auch wie gewünscht:

 

Untergeordnete Computer Objekte

- Bestätigtes Schreiben an Dienstprinzipal Name

- Bestätigtes Schreiben an Hostnamen

- Kennwort ändern

- Kennwort zurücksetzen

- Kontobeschränkung lesen

- Kontobeschränkung schreiben

 

Was mich jetzt noch interessiert ist die Sache mit dem Counter? Wo kann ich sehen dass der hochgezählt wird? Oder soll/muss ich den jetzt garnicht abändern?

[NorbertFe 1.835]

Das Ändern des Counters ist eine entweder oder Sache. per Default haben Authentifizierte Nutzer das Recht bis zu 10 (bzw. das was im Counter steht) PCs zur Domain hinzuzufügen. Wenn du den auf 0 setzt, dürfen sie das also nicht mehr. (Mein Vorschlag). Nils erwähnte das Recht in der DDP zu entfernen, dann brauchst du den Counter nicht zu ändern.

 

Bye

Norbert

[CoNtAcT2000 15]

ich steh etwas auf dem Schlauch

- ich habe in der DDCP nur noch die Domänen-Admins eingetragen die das Recht heben Arbeitsstationen zur Domäne hinzuzufügen (vorher war das Authentifizierte Benutzer).

 

- nun habe ich der Techniker Gruppe die oben genannten Rechte auf die entsprechenden OUs erteilt - diese können nun die Computer in die Domäne aufnehmen, wenn Sie zuvor mit dem Tool ein Konto erstellt haben. Wurde keine Konto zuvor angelegt können Sie den Computer nicht aufnehmen. Also genau so wie ich es haben wollte.

 

Nun stellt sich mir halt die Frage ob ich noch was wegen dem Zähler machen muss, oder es auch so mit mehr als 10 Konten funktioniert.

[NorbertFe 1.835]

Hat Nils schon beantwortet. Wenn explizit das Recht delegiert wurde, dann interessiert der Zähler maximal noch den Gasman. ;)

Bye

Norbert

[CoNtAcT2000 15]

ok, danke!

noch eine kurze Frage dazu - muss man, also damit der Zähler egal ist,über den Assistenten gehen (Objektverwaltung zuweisen) oder kann man das auch manuell über Registerkarte Sicherheit machen(was ich getan habe)?

 

Wenn ich Nils richtige verstanden habe, sollte es egal sein wie man es macht, hauptsache der User hat das Recht dazu,dann spielt der Zähler keine Rolle!

Will nur nochmal sicher gehen :)

 

Danke an alle!!!

[NorbertFe 1.835]

Warum hast du nicht einfach obige Befehle genommen. Und ja es ist egal, wie du die rechte zugewiesen hast.

[CoNtAcT2000 15]

ok.Danke

 

Die Befehle habe ich nicht genommen, weil ich das ganze auf ca 40 OUs legen musste - bis ich das geskriptete habe, bin ich damit mit manuellem klicken schon durch :)

[NorbertFe 1.835]

40 mal suchen und ersetzen ist mit Sicherheit schneller als deine Methode. ;) aber egal...