Jump to content

Berechtigungen für Domain join

Kuddel071089

Von Kuddel071089
in Active Directory Forum

Direkt zur Lösung Gelöst von Kuddel071089,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Kuddel071089 Experienced

Kuddel071089   9

Geschrieben
Geschrieben

Hallo zusammen,

 

ich habe für unsere VMware Umgebung einen User erstellt, der einen Server in die AD aufnhemen soll.

 

Bei uns wird zuerst ein Skript ausgeführt (mit Domain-Admin User), welches die Berechtigungsgruppe sowie das Computerobjekt in der gewünschten OU erstellt.

 

Dann wir das VMware Template ausgerollt wo der o.g. User im Sysprep hinterlegt ist.

 

Ich hab das ganze jetzt einmal getestet, in dem ich einen Test-Server aus der AD entfernt habe (ohne das Computerobjket zu löschen) und ihn nun mit dem neuen User wieder ins AD aufnehmen wollte.

 

Der User hat bisher die Rechte nach folgender Anleitung bekommen:

http://prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/

 

Jetzt bekomme ich bei der versuchten Aufnahme folgende Fehlermeldung:

 

Der Mitgliedschaftsvorgang ist fehlgeschlagen. Mögliche Ursache hierfür könnte sein, dass ein vorhandenes Computerkonto namens "XXX" zuvor mit anderen Anmeldeinformationen erstellt wurde. Verwenden Sie einen anderen Computernamen, oder wenden Sie sich an den Administrator, um sämtliche veralteten in Konflikt stehenden Konten zu entfernen. Fehler: Zugriff verweigert

 

Sie also so aus, dass dem User Rechte fehlen. Jetzt ist die Frage, welches Recht der User benötigt, um das bestehende Conputerobjekt berarbeiten / verwalten zu können.

 

UAC und Firewall sind deaktiviert.

 

 

 

Danke und Gruß

 

Kuddel

Link zu diesem Kommentar
Kuddel071089 Experienced

Kuddel071089   9

Geschrieben
  • Autor
Geschrieben

Geht es denn, wenn Du das Computer-Object vorher löschst? Wenn ja, denke mal scharf nach ;) Erstellen <> Bearbeiten.

 

wenn ich das objekt lösche, wird es durch den User neu erstellt, aber in der Standard-OU "Computer".

 

Wenn ich die Rechte für die gewünschte OU "Server" bearbeiten möchte, hab ich nur die Möglichkeit zwischen "Computer-Objekt löschen" oder "Computer-Objekt erstellen".

 

Das Recht zum bearbeiten finde ich jetzt nicht wirklich.

Link zu diesem Kommentar
Kuddel071089 Experienced

Kuddel071089   9

Geschrieben
  • Autor
Geschrieben

Hi,

 

mit "redircmp" kannst du bestimmen, wo neue Computerkonten landen sollen. Mit "redirusr" wäre das auch für die User machbar.

 

Gruß

Jan

 

Die Server landen immer in Unterschiedlichen OUs -> Server : Stanbdort A / Standort B / Standort C

 

Dies wird alles durch ein Powershellscript geregelt.

 

Mein neuer User muss jetzt nur das Recht haben, einen Server mit einem bestehendem AD-COmputerobjekt zu verbinden

Link zu diesem Kommentar
Kuddel071089 Experienced

Kuddel071089   9

Geschrieben
  • Autor
Geschrieben

Ich würde mal das Kennwort des Computerkontos zurücksetzen und das Konto deaktivieren. Danach nochmals testen.

 

1. Wie soll ich beim Computerkonot das PW zurücksetzten ? Ein COmputerobjekt hat doch gar kein PW ?

2. Das Computerobjekt war ja deaktiviert, da ich den TEstserver aus der AD genommen habe um die Aufnahme mit dem neu erstellten User zu testen

Link zu diesem Kommentar
Kuddel071089 Experienced

Kuddel071089   9

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Wieso hat ein Computer kein Kennwort? ;) Achso das war ne frage. Na dann: doch natürlich hat ein computerkonto ein Passwort.

 

Ich kann das Konto zurücksetzen, aber kein Passwort.

 

Ist auch egal, denn das behebt ja nicht das Problem mit den fehlenden Berechtigungen. Denn wenn ich erst das Konto zurücksetzen muss, wenn ich es per Skript erstellt habe, ist das auch umständlich, sofern ich das nicht direkt als letzten Schritt im Skript machen kann

bearbeitet von Kuddel071089
Link zu diesem Kommentar
testperson Grand Master

testperson   1.538

Geschrieben
Geschrieben

Die Server landen immer in Unterschiedlichen OUs -> Server : Stanbdort A / Standort B / Standort C

 

Dies wird alles durch ein Powershellscript geregelt.

 

Mein neuer User muss jetzt nur das Recht haben, einen Server mit einem bestehendem AD-COmputerobjekt zu verbinden

Naja, wenn man sich da von vornerein auf eine einheitliche Namenskonventionen einigt, kann man die Computerkonten in der mit redircmp umgeleiteten OU lassen und dann per Task an den gewünschten Ort verschieben.

Alternativ benötigt der User wie geschrieben mehr Rechte.

Link zu diesem Kommentar
Kuddel071089 Experienced

Kuddel071089   9

Geschrieben
  • Autor
Geschrieben

Naja, wenn man sich da von vornerein auf eine einheitliche Namenskonventionen einigt, kann man die Computerkonten in der mit redircmp umgeleiteten OU lassen und dann per Task an den gewünschten Ort verschieben.

Alternativ benötigt der User wie geschrieben mehr Rechte.

 

Wir verwenden natürlich eine Namenskonvention, nur ist das Computerobjekt ja schon erstellt, bevor ich den Server in AD aufnehmen möchte.

 

Bleibt in meinen Augen also nur, dem User die entsprechenden Recht zu geben. Wobie ich nochmal hilfe benötige

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...