Recht für Computer in die Domäne aufnehmen ??

[lefg 276]

Woher kommt die OU locations, ich habe das nicht so.

 

Bei mir sieht das so aus.

 

Active Directory-Benutzer und -Computer [1fs-lubeca.wak.de]

- - lubeca.wak.de

- - - Bultin

- - - Computers

- - - Domain Controllers

- - - ForeignSecurityPrinzipals

- - - LostAndFound

- - - System

- - - Users

[Redliner 10]

ich habe das auch so, nur Locations mit den beiden Unter OU`s habe ich manuell angelegt.

[lefg 276]

Dann sieht das so aus.

 

Active Directory-Benutzer und -Computer [myserver-mydomain]

- - mydomain

- - - Bultin

- - - Computers

- - - Domain Controllers

- - - ForeignSecurityPrinzipals

- - - Locations

- - - LostAndFound

- - - System

- - - Users

 

In

- - - Locations

 

gibt es nochmals

 

- - - - Computers

- - - - Users

 

Ist es so?

 

Entschuldige bitte meine Fragerei! Gehört bei mir zur beruflichen Methodik.

[Redliner 10]

ja genau, alles richtig.

 

Mußt dich nicht entschuldigen, ich bin froh wenn sich jemand meiner Problematik annimmt...

[lefg 276]

Ich habe Zweifel daran, ob das in dieser Art so überhaupt möglich ist.

 

Hast Du dir schon mal den Community.cast "reingezogen"?

[blub 115]

Hi,

auszug aus

http://www.microsoft.com/downloads/details.aspx?FamilyID=29dbae88-a216-45f9-9739-cb1fb22a0642&displaylang=en

---

 

Computer Management Tasks

Task Permissions Required to Perform Task

Create a computer account CC on parent object (to create objects of class Computer)

Delete a computer account SD on the computer object itself OR DC on parent object (to delete objects of class Computer)

Rename a computer account WP on the computer object to modify all attributes

NOTE: User performing operation must be a Local Administrator on the computer being renamed

Move a computer account SD on the computer object itself OR DC on parent object (to delete objects of class Computer)

CC on target parent (to create objects of class Computer)

WP on the computer object to modify Common-Name attribute

WP on the computer object to modify RDN attribute

Disable a computer account WP on the computer object to modify User-Account-Control attribute

---

 

 

cc:create child

wp: write persission

sd: standard delete

 

cu

blub

[Redliner 10]

habs mal runtergeladen. Ist aber ein Video von 50 min Länge. Habe ich mal durchgezappt aber auf die Schnelle auch nichts gefunden.

[heinzelrumpel 10]

nur mal eben so durchzappen reicht auch nicht ;)

 

hier mal ein zitat aus der windows-hilfe

 

Hinzufügen von Arbeitsstationen zur DomäneComputerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Benutzerrechtezuweisung

 

Beschreibung

Legt fest, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können.

 

Diese Richtlinie ist nur auf Domänencontrollern gültig. Standardmäßig verfügt jeder authentifizierte Benutzer über dieses Recht und kann in der Domäne bis zu 10 Computerkonten erstellen.

 

Das Hinzufügen eines Computerkontos zur Domäne ermöglicht es dem Computer, Teil des Active Directory-basierten Netzwerkes zu werden. So kann z. B. eine Arbeitsstation nach Hinzufügen zu einer Domäne Konten und Gruppen in Active Directory erkennen.

 

Voreinstellung: Authentifizierte Benutzer.

 

Anmerkung

 

Benutzer, die Computerobjekte im Active Directory-Container erstellen dürfen, können auch Computerkonten in der Domäne erstellen. Der Unterschied besteht darin, dass Benutzer mit Berechtigungen für den Container, nicht auf die Erstellung von nur 10 Computerkonten beschränkt sind. Darüber hinaus weisen Computerkonten, die mithilfe der Einstellung Hinzufügen von Arbeitsstationen zur Domäne erstellt wurden, die Gruppe Domänenadministratoren als Besitzer auf. Im Gegensatz dazu weisen Computerkonten, die mithilfe von Berechtigungen für die Computercontainer erstellt wurden, den Ersteller als Besitzer des Computerkontos auf. Verfügt ein Benutzer über Berechtigungen für den Container und zudem über das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne, wird der Computer basierend auf den Computercontainerberechtigungen (nicht auf dem Benutzerrecht) hinzugefügt.

[Redliner 10]

das war jetzt aber sehr theoretisch......

 

was muß ich in meinem Fall tun um eine Workstation zur Domain hinzufügen zu können ??

 

- Der User hat per Policy das Recht eine WS zur Domain hinzuzufügen. ( Standard Domain Controller policy)

- Der user hat sogar lokale Admin Rechte

- Der User hat das Recht in der OU ein Computer Objekt zu erstellen. ( per Assistent und manuell probiert)

 

Danke für die Hile

 

Redliner

[heinzelrumpel 10]

das war jetzt aber sehr theoretisch......

 

was muß ich in meinem Fall tun um eine Workstation zur Domain hinzufügen zu können ??

 

- Der User hat per Policy das Recht eine WS zur Domain hinzuzufügen. ( Standard Domain Controller policy)

 

 

Redliner

 

das recht sollte er standard domain policy haben.

 

habe das gerade mal in meinem system abgechecked. user erzeugt, recht vergeben, in die domäne eingestiegen. schwups. ganz simpel :D

 

probiere mal das deaktieren aller gpo's, ausser der default domai policy, am besten eine nach dem anderen. evtl. findest du den fehler so. is ja eine testumgebeung, daher sollte das ja machbar sein.

 

welche genaue fehlermeldung erhälst du eigentlich?

[lefg 276]

Hallo,

 

dies ist nicht der einzige Thread in dem das Lied vom Zufügen eines Computers zur Domäne gespielt wird.

Es hat eine Menge Ratschläge von wohl kompetenten Leuten gegeben; die es probiert haben, können nich alle **** sein.

Ich habe es auch versucht zu testen und bin bisher gescheitert.

 

In welcher Richtlinie muss das Recht definiert sein?

 

In der Sicherheitsrichtlinie für Domänenkontroller ist das Recht zum Hinzufügen von Arbeitsstationen zur Domäne für Authentifizierte Benutzer festgelegt.

Das soll doch wohl bedeuten, das ein lokaler Admin, der auch Benutzer der Domäne ist, die Operation ausführen können muss.

 

Muss das nicht grundsätzlich reichen? Oder nicht?

 

Was geschieht, wenn man an Einstellungen anderer Richtlinien dreht?

 

Gruß

Edgar

[Redliner 10]

sag ich doch....klappt einfach nicht.

 

probiers nun schon seit drei Tagen in allen möglichen Konfigurationen...ist zum Haare rausraufen.

[lefg 276]

Ich drehe in den anderen Richtlinien mal die Einstellungen wieder zurück.

 

Und zwar in der

 

SiRiLi für Domänen

Default Domain Policy

 

die Einstellungen

 

Hinzufügen von Arbeitsstationen zur Domäne

Anmelden als Stapelverarbeitungsauftrag

 

Nach dem dem Entfernen aus der SiRiLi für Domänen,war es aus der DDP auch verschwunden.

 

Welche Wirkung hat eigentlich die Einstellung auf dem lokalen Computer?

[lefg 276]

Ich habe die Einstellungen entfernt wie vorhergehend beschrieben.

 

Weiter habe ich Anmelden als Stapelverarbeitungsauftrag aus der loakalen Sicherheitsrichtlinie des Clients entfernt.

 

Und secedit /refreshpolicy comuter_policy ausgeführt.

 

Dann habe ich das deaktivierte Computerkonto aus einer OU entfernt.

 

Danach ging der Rechner in die Domäne wie mit Vaseline geschmiert. :D

 

Die ganze Schrauberei an den Richtlinien ist nicht nötig. Einem authentifizierter Benutzer ist das auch so erlaubt.

 

Gruß

Edgar

[Redliner 10]

das ist das Rätsels Lösung. Man muß das Computerkonto löschen, danach kann jeder authentifizierte Benutzer eine WS der Domain hinzufügen.

 

Wenn man dem User das Recht gibt einen Computer in einer OU zu erstellen klappt das auch. Man legt ihn vorher mit dem User an und fügt ihn dann der Domain hinzu - klappt.

 

Jetzt stellt sich mir nur die Frage wie man das Recht wieder wegbekommt das jeder User Rechner der Domain hinzufügen kann. Es gibt eine Policy auf den Domain Controller auf das Hinzufügen der Domain als authentifizierter Benutzer. Hab das mal entfernt. Ging dann aber trotzdem.

 

Wäre super wenn wir das auch noch lösen können - sind ja gut voran gekommen....