Windows 10 Domänenbeitritt ohne Berechtigung?

[NorbertFe 2.289]

Vielleicht doch nochmal nils' Post lesen? Damit erübrigen sich schon fast alle Mutmaßungen.

Und ja man kann das tatsächlich auch per Policy steuern, aber Nils' Variante ist in meinen Augen die sinnvollere. Gegensteuern kann man da übrigens ganz schnell.

- redircmp

- gpo auf die umgeleitete ou

- PC Anmeldung für lokale Konten und domänenbenutzer verweigern

- fertig

 

Auch wenn man den Counter auf 0 setzt ist obige Variante sinnvoll.

 

Bye

Norbert

[Sunny61 834]

Tatsächlich Mitglied der o.g. Sicherheitsgruppe der Domäne? Oder des Computers? Wie sollte ein nicht zur Domäne gehäriger Computer Memebr einer Sicherheitsgruppe der Domäne sein? Ich  halte das für eine Unvereinbarkeit.

Ein in die Domain aufgenommener Computer ist out of the Box Mitglied der Authentifizierten Benutzer. So mein Wissensstand. Ist das nicht korrekt, dann möge man mich berichtigen.

 

Sorry wenn ich mich mit dem anderen Posting missverständlich ausgedrückt hatte.

bearbeitet 15. November 2015 von Sunny61

[lefg 276]

@Sunny, sorry, da hab ich dich anders verstanden. 

 

@Jörg, nun habe ich wohl gefunden, was Du wohl mit "alles sehen" meinst.

 

 

Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer an der Active Directory-Vernetzung teilnehmen. Wenn eine Arbeitsstation zum Beispiel einer Domäne hinzugefügt wird, kann diese Arbeitsstation Konten und Gruppen erkennen, die in Active Directory vorhanden sind.

Das kann doch aber der Benutzer, der den Computer zugefügt hat, sowieso, denn er gehört zu authentifizierte Benutzer, von Hazs aus.

bearbeitet 15. November 2015 von lefg

[NorbertFe 2.289]

Wer ist jörg?

[lefg 276]

Wer ist jörg?

 

willy-goegen

 

 

Standardmäßige maximale Anzahl von Arbeitsstationen, die ein Benutzer an der Domäne an

 

https://support.microsoft.com/de-de/kb/243327

 

https://robszar.wordpress.com/2012/08/07/changing-the-default-ms-ds-machine-account-quota-attribute/

bearbeitet 15. November 2015 von lefg

[NorbertFe 2.289]

Darauf soll man kommen. :rolleyes:

[lefg 276]

Hier noch etwas dazu

Clients in die Domäne hinzufügen

 

http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/

Dunkel in meiner Erinnerung, auf 2003 war diese Richtlinie noch selbst veränderbar: https://msdn.microsoft.com/de-de/library/cc780195%28v=ws.10%29.aspx

 

Ich hab morgen wieder Zugriff auf einen 2003.

bearbeitet 15. November 2015 von lefg

[NorbertFe 2.289]

Lest doch mal genau. Ja das geht und ging schon immer auch per gpo zu konfigurieren. Allerdings hat die von Nils genannte Variante eben Vorteile.

[lefg 276]

Hier noch etwas Schönes dazu: http://www.gruppenrichtlinien.de/artikel/umleitung-von-benutzer-und-computer-objekten/

[NorbertFe 2.289]

Ja ganz toll ;) ist aber wie gesagt nur Symptom Bearbeitung und nicht Ursache.

bearbeitet 15. November 2015 von NorbertFe

[lefg 276]

Ich weis es ja Norbert, ich bin noch am Grübeln, wie, wo war die Berechtigung auf die Richtliniemeinstellung zu ändern? Ich habs mal gelesen.

[NorbertFe 2.289]

Hast du doch selbst verlinkt.

[ChrisRa 42]

Zusammenfassend:

 

Oder gleich per GPO in der Default Domain Controllers Policy:
...\Zuweisen von Benutzerrechten\Hinzufügen von Arbeitsstationen zur Domäne
 
 
-> Austauch der Authentifizierten Benutzer gegen eure Gruppe, die das tatsächlich darf. 

 

 

​