Benutzer können Clients in die Domäne hängen

[deadofnight 10]

Entgegen vieler Threads die ich zu diesem Thema gefunden habe - habe ich genau das gegenteilige Problem... Vielleicht könnt Ihr mir helfen ??

 

Ich betreibe eine Domäne mit 3 Windows 2003 Servern. Daran hängen ca. 20 Windows 2000 Client inkl SP4 und allen aktuellen Patches (benutze hierfür SUS). Die Benutzer sind alle "normale" Domänen-Benutzer und arbeiten mit lokalen Hauptbenutzer-Rechten. Soweit so gut.

 

Gestern habe ich einem Kollegen einen Testrechner zur Verfügung gestellt, welcher nicht in die Domäne mit aufgenommen werden sollte (Der User benötigt Admin-Rechte auf dem Testrechner).

 

Nach einer halben Stunde bat mich dieser Kollege um Hilfe, da die Soundkarte Probleme machte. Dabei fiel mir dann (mit weit aufgerissenen Augen) auf, das der Rechner zum Domänen-Mitglied geworden war. Das AD bestätigte mir dies. Auf die Frage hin wie er das geschafft hat, sagte er: ich habe bei der Benutzerabfrage einfach meinen Account genommen - das hat funktioniert".

 

Danach war ich noch mehr geschockt und probierte es promp mit einem anderen Rechner und einem anderen "normalen" User aus - das geht tatsächlich !!!

 

* Wo steckt mein Sicherheitsleck ?

 

Ich mache mir echt Sorgen ! Habe bereits alle Gruppen auf Admin-Zugehörigkeit überprüft - aber das scheint es nicht zu sein...

 

Vielen, vielen Dank für Eure Hilfe im voraus...

[buccaneer2003 10]

Das ist die default Einstellung des AD. Die Gruppe "Authentifizierte Benutzer" hat das Recht 10 Computer der Domäne hinzu zufügen.

Abstellen kann man über die Default Domain Controller Policy. Dort ist definiert wer Arbeitssationen der Domäne hinzufügen darf. (Default=Authentifizierte Benutzer)

 

Es gibt auch eine andere Einstellung im AD an die man nur mit ADIEdit ran kommt in der man die Anzahl der Computer verringern oder erhöhen kann, die der Domäne hinzugefügt werden drüfen. Der Key ist mir leider entfallen.

[buccaneer2003 10]

Also:

ADSIEdit - Domänen Partition - Domäne auswählen - Eingeschaften

 

ms-DS-MachineAccountQuota suchen und ändern (Default ist 10)

 

P.S. Ich hab's nicht so gemacht, sondern mit der Default Domain Controller Policy

[deadofnight 10]

1000 Dank für die schnellen Antworten !!

Ich war echt schon ganz durcheinander...

 

Klingt logisch, das man das in der "DefaultDomainPolicy" einstellt. Könnt Ihr mir auch noch verraten, in welchem Schlüssel ?

 

Danke und Grüsse aus dem veregneten HH

[buccaneer2003 10]

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Zuweisen von Benutzerrechten - "Hinzufügen von Arbeitsstationen zu Domäne"

[deadofnight 10]

Original geschrieben von buccaneer2003

Computerkonfiguration - Windowseinstellungen - Sicherheitseinstellungen - Zuweisen von Benutzerrechten - "Hinzufügen von Arbeitsstationen zu Domäne"

 

Vielen Dank nochmals !!

Jetzt ist alles wieder gut :)

 

Warum dort als default "Authentifizierte Benutzer" drin steht werde ich zwar nicht verstehen weil es sich in meinen Augen um ein Sicherheitsloch handelt, aber was solls...

 

Greetz

deadofnight

[buccaneer2003 10]

Die selbe Frage habe ich auch mal in einer Microsoft Newsgroup gestellt und die Antwort war, dass man sich ein Unternehmen mit 5000 Computern vorstellen soll. Da hat der Domänen Admin andere Sachen zu tun als sich um so einen SCH*** zu kümmern. :rolleyes:

[deadofnight 10]

Original geschrieben von buccaneer2003

Die selbe Frage habe ich auch mal in einer Microsoft Newsgroup gestellt und die Antwort war, dass man sich ein Unternehmen mit 5000 Computern vorstellen soll. Da hat der Domänen Admin andere Sachen zu tun als sich um so einen SCH*** zu kümmern. :rolleyes:

 

klar hat der Admin nie Zeit, weil er ständig am "flicken" von DomainControllern beschäftigt ist :D