phatair 38 Geschrieben 28. April 2022 Melden Teilen Geschrieben 28. April 2022 Hallo zusammen, wenn ich bei uns Win 10 Clients aus der Domäne entferne, also am Client selber "Workgroup" auswähle, wird dieser Client in der AD nicht deaktiviert. Nach einem Reboot ist der Client zwar in der Workgroup, aber eben das AD Objekt weiterhin aktiv. Nun habe ich festgestellt, wenn ich beim entfernen des Clients den Domänen Administrator (als Test) angebe, wird der Client deaktiviert. Mache ich das aber mit unseren dedizierten Accounts, die auch für die Aufnahme von PCs in die Domäne berechtigt sind, wird der Client nicht deaktiviert. Das Problem war dann schnell gefunden, der User hatte nicht das Recht Computerobjekte zu löschen/deaktivieren. Er durfte nur Computer Objekte erstellen. Ich frage mich aber, warum konnte der Client trotzdem aus der AD entfernt und in die Workgroup aufgenommen werden. Hat jeder User das Recht ein Gerät aus der Domäne zu nehmen? Ist das per Default so? Grüße Zitieren Link zu diesem Kommentar
BOfH_666 568 Geschrieben 28. April 2022 Melden Teilen Geschrieben 28. April 2022 (bearbeitet) vor 27 Minuten schrieb phatair: Hat jeder User das Recht ein Gerät aus der Domäne zu nehmen? "Per default" darf sogar jeder User einen Computer in die Domäne aufnehmen!! (... und das bis zu 10 mal, wenn sich das nicht geändert hat) vor 27 Minuten schrieb phatair: Ist das per Default so? Ja. Dafür sind nur lokale Rechte nötig. bearbeitet 28. April 2022 von BOfH_666 1 Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 28. April 2022 Autor Melden Teilen Geschrieben 28. April 2022 (bearbeitet) Danke Dir, Das mit dem aufnehmen weiß ich und ist bei uns auch auf 0 gesetzt und für den Domain Join ist eine AD Gruppe mit delegierten Rechten gesetzt. Das mit dem entfernen ist mir dann trotzdem ein Rätsel, das mit den lokalen Rechten hatte ich mir auch gedacht. Ich kann das aber auch mit einem User machen, der keine lokalen Adminrechte hat. Ich kann den Client mit einem normalen Standard AD User aus der Domäne nehmen. Das AD Objekt bleibt dann weiterhin aktiv im AD und der Client ist dann in der Workgroup. EDIT: Um es etwas genauer zu sagen - um von Domäne auf Workgroup umzustellen benötige ich natürlich administrative Rechte. Danach erscheint ja aber noch mal eine Authentifizierung gegenüber der Domäne und dort habe ich dann einfach einen normalen AD User eingetragen der keinerlei Rechte im AD oder auf dem Client hat. bearbeitet 28. April 2022 von phatair Zitieren Link zu diesem Kommentar
cj_berlin 1.138 Geschrieben 28. April 2022 Melden Teilen Geschrieben 28. April 2022 (bearbeitet) vor 38 Minuten schrieb phatair: Ich frage mich aber, warum konnte der Client trotzdem aus der AD entfernt und in die Workgroup aufgenommen werden. Hat jeder User das Recht ein Gerät aus der Domäne zu nehmen? Ist das per Default so? Das Vertrauen zwischen Domäne und ihrem Member hat ja zwei Seiten. jeder User - kann auch ein lokaler sein! - der Admin auf dem Member ist, kann das Vertrauen seitens des Members aufkündigen, d.h. dem Member sagen, dass er nicht länger Domänen-, sondern nunmehr Workgroup-Mitglied ist. Dafür ist noch nicht einmal die Konnektivität zu der Domäne erforderlich, das ist ein komplett lokaler Vorgang auf dem Member. um das Gegenstück davon in der Domäne durchzuführen, was letztlich zur Deaktivierung des Computer-Objektes führt, muss der User über das Recht im AD verfügen, das zu tun, wie ihr schon festgestellt habt. Wenn Du dir Remove-Computer anschaust, da kann man separate Credentials für den lokalen und den Domain-Part angeben. bearbeitet 28. April 2022 von cj_berlin 2 1 Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 28. April 2022 Autor Melden Teilen Geschrieben 28. April 2022 vor 1 Minute schrieb cj_berlin: Das Vertrauen zwischen Domäne und ihrem Member hat ja zwei Seiten. jeder User - kann auch ein lokaler sein! - der Admin auf dem Member ist, kann das Vertrauen seitens des Members aufkündigen, d.h. dem Member sagen, dass er nicht länger Domänen-, sondern nunmehr Workgroup-Mitglied ist. Dafür ist noch nicht einmal die Konnektivität zu der Domäne erforderlich, das ist ein komplett lokaler Vorgang auf dem Member. um das Gegenstück davon in der Domäne durchzuführen, was letztlich zur Deaktivierung des Computer-Objektes führt, muss der User über das recht im AD verfügen, das zu tun, wie ihr schon festgestellt habt. Wenn Du dir Remove-Computer anschaust, da kann man separate Credentials für den lokalen und den Domain-Part angeben. Ah ok, dann müsste ich es verstanden haben. Das heißt, dass aufkündigen erfolgt in 2 Schritten. Da ich als lokaler Admin die Workgroup auswähle, wird der Member (Client) auch aus der Domäne genommen und in die Workgroup gesteckt. Das passiert erstmal lokal. Danach authentifiziere ich mich noch gegen das AD und da der User nicht genügend Rechte hat bleibt das AD Computer Objekt aktiv, dass hat aber erstmal nichts mit den lokalen "Einstellungen" auf dem Member zu tun. Ich hätte jetzt trotzdem eine Fehlermeldung in Bezug auf das AD Objekt am Member erwartet, aber dann ist das wohl so nicht. Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 28. April 2022 Autor Melden Teilen Geschrieben 28. April 2022 An einem Test PC war das Verhalten wie folgt. Versuch 1 Mit einem lokaler Admin den PC in eine Workgroup gepackt. Bei der Anfrage für die Domäne einen User angegeben der definitiv Computer deaktivieren/löschen darf. Trotzdem war der PC danach nicht deaktiviert in der AD. Versuch 2 Den PC noch mal in die Domäne aufgenommen und mit dem Remove-Computer PS Command die Deregistrierung durchgeführt. Im Remove-Computer Command wurde der AD User mitgegeben. Als lokaler User wurde "current user" verwendet, dieser war lokaler Admin. Hier wurde das Computer Objekt in der AD deaktiviert. Jetzt habe ich diesen PC wieder in die Domäne aufgenommen und habe 1:1 noch mal das Prozedere aus Versuch1 durchgeführt. Jetzt wird das Computer Objekt in der AD auch deaktiviert. Ich verstehe es nicht, aber gut, wir werden es beobachten. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 28. April 2022 Melden Teilen Geschrieben 28. April 2022 Moin, gut, und was ist genau die Anforderung, wegen der du das durchtestest? vor einer Stunde schrieb phatair: Trotzdem war der PC danach nicht deaktiviert in der AD. Das kann auch ein Replikations-Timing-Effekt sein. Gruß, Nils Zitieren Link zu diesem Kommentar
phatair 38 Geschrieben 29. April 2022 Autor Melden Teilen Geschrieben 29. April 2022 vor 20 Stunden schrieb NilsK: Moin, gut, und was ist genau die Anforderung, wegen der du das durchtestest? Das kann auch ein Replikations-Timing-Effekt sein. Gruß, Nils Die Grund war eher Zufall. Wir haben bei der LAPS Implementierung nach dem Attribut msDS-CreatorSid gesucht. 3 Rechner hatten dieses Attribut tatsächlich und wir haben diese Geräte eben aus der Domäne entfernt und wieder neu aufgenommen, um zu prüfen ob das Attribut leer bleibt, wenn wir die korrekten User verwenden. Dabei ist aufgefallen, dass die Geräte eben nicht deaktiviert werden. Ist jetzt nicht weiter tragisch, da bei uns die User keine lokalen Adminrechte haben und somit selber den Domänen austritt nicht durchführen können und damit auch keine "Leichen" im AD entstehen können. Komisch finde ich es trotzdem. An den Replikations-Effekt hatte ich auch gedacht, habe aber extra mal ein paar Stunden gewartet und zusätzlich auf allen DCs geprüft. Das Gerät wurde nicht deaktiviert. Zitieren Link zu diesem Kommentar
NilsK 2.785 Geschrieben 29. April 2022 Melden Teilen Geschrieben 29. April 2022 Moin, verstehe. Dann ist es vermutlich sinnvoll zu überlegen, ob man das ausdrückliche Löschen des AD-Kontos mit in einen Prozess aufnimmt. Und darüber hinaus ist es nie eine schlechte Idee, das AD nach verwaisten Computerkonten regelmäßig zu untersuchen. Da leistet z.B. OldCmp von joeware.net gute Dienste. Gruß, Nils 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.