Lehrling-CH 10 Posted July 19, 2005 Report Share Posted July 19, 2005 Hallo Zusammen Ich habe folgendes Problem: Ich habe einen W2k3 Server und XP Clients. Auf dem Server ist AD installiert und fast fertig eingerichtet. Ich möchte das ein Domänebenutzer einen Client erst in die Domäne einbinden kann, wenn der Computer im AD erfasst wurde. Ansonsten soll eine Eingindung verweigert werden. Jetzt meine Frage: Was für Group Policies muss ich dafür setzen. Ich habe es bereits mit, "Add Workstations to Domain" versucht, bis jetzt ohne erfolg. Für eine Antwort wäre ich Dankbar Quote Link to comment
zahni 405 Posted July 19, 2005 Report Share Posted July 19, 2005 Das würde ich den Benutzern komplett verbieten (schon aus Sicherheitsgruünden): In der "Default Domain Controllers Policy" nach "Lokale Richtlinien/Überwachungsrichtlinie" suchen, Sicherstellen, dass bei "Hinzufügen von Arbeitsstationen zur Domäne" nur "Administratoren". Bedenke: Wenn "Hinz und Kunz" einen Benutzer-account auspäht, kann er sich nach belieben mit einem Laptop in Deine Domane einklinken. -Zahni Quote Link to comment
Lehrling-CH 10 Posted July 19, 2005 Author Report Share Posted July 19, 2005 Nein, ich glaube du verstehst das falsch. Der User kann nur einen Computer Client, lokal bei sich inzufühgen. Also bei sich unter Rechtsklick Arbeitsplatz -->Properties-->Computername und dort kann er seine Maschiene einbinden. Aber auch nur dann, wenn das Gerät im AD erfasst wurde. Quote Link to comment
Hr_Rossi 10 Posted July 19, 2005 Report Share Posted July 19, 2005 hi also irgendwie verstehe ich auch nicht was du meinst ! Der User kann nur einen Computer Client, lokal bei sich inzufühgen. Also bei sich unterRechtsklick Arbeitsplatz -->Properties-->Computername und dort kann er seine Maschiene einbinden. Aber auch nur dann, wenn das Gerät im AD erfasst wurde. Also ist der Computer schon in der Dom. oder nicht !? Willst du einem User Rechte geben, das er einen Computer hinzufügen kann oder was ? Oder einen user Rechte geben den Comp aus der Dom. entfernen lg rossi Quote Link to comment
zahni 405 Posted July 19, 2005 Report Share Posted July 19, 2005 Wenn Du dort auf "Ändern" klickts, wird der Computer zu Domäne hinzügt. Es wird eine Domänen-Computer-SID erzeugt und ein Computer-Kennwort festgelegt.. Egal, ob das Computerkonto vorher in der Domäne erzeugt wurde. Ohne die weiter oben beschriebene Änderung ist das jedem Benutzerkonto 10x erlaubt (habe ich mal auf einem MS-Sicherheitsseminar gehört). -Zahni Quote Link to comment
Lehrling-CH 10 Posted July 19, 2005 Author Report Share Posted July 19, 2005 Also nochmals, der Computer ist noch nicht in der Domäne eingebunden. Der User selber kann dann wieder über rechtsklick Arbeitsplatz etc. den Computer in die Domäne einbinden. Aber Nur wenn der Domäneadministrator den Computer im AD als Objekt hinzugefügt hat, sonst soll es verweigert werden. Quote Link to comment
posterboy 10 Posted July 19, 2005 Report Share Posted July 19, 2005 Hi, ich kann meine Clientcomputer nur mit einem Account aus der Gruppe der Admins (Domäne)hinzufügen. Mein W2K3 ist standartmäßig installiert. Ich habe keine weiteren GPO's. gruß posterboy Quote Link to comment
zahni 405 Posted July 19, 2005 Report Share Posted July 19, 2005 Ist vielleicht Standard bei Windows 2003. Ich habe als Domänencontroller noch 2000 . Da ging es. -Zahni Quote Link to comment
Lehrling-CH 10 Posted July 19, 2005 Author Report Share Posted July 19, 2005 Ich kann das mitlerweile auch. Es wird in der Group Policy unter dem Schlüssel "Add workstations to domain" definiert. Wenn man jedoch vor der Einbindung, den Computer als Objekt in der Active Directory hinzufügt, sollten alle user den entsprechenden Client in die Domäne einbinden können. Quote Link to comment
zahni 405 Posted July 19, 2005 Report Share Posted July 19, 2005 ...Und das ist keine gute Idee (Sicherheit !) -Zahni Quote Link to comment
Lehrling-CH 10 Posted July 19, 2005 Author Report Share Posted July 19, 2005 lassen wir mal das thema sicherheit weg, dafür sorge ich schon noch. Mit geht es primär darum das ich dass hinkriege. Quote Link to comment
dmetzger 10 Posted July 19, 2005 Report Share Posted July 19, 2005 "Lassen wir mal das Thema Sicherheit weg, dafür sorge ich schon noch." Die beste Aussage, um als Admin durch eine verantwortungsvolle Geschäftsführung sofort entlassen zu werden. Quote Link to comment
Lehrling-CH 10 Posted July 19, 2005 Author Report Share Posted July 19, 2005 Hat mir diese Aussage weitergeholfen? Gibt es nun eine Möglichkeit? Oder versteht ihr überhaupt, was ich machen will? Quote Link to comment
zahni 405 Posted July 19, 2005 Report Share Posted July 19, 2005 Villeicht haben wir immer noch nicht verstanden, was Du machen willst ? Schau Dir mal das Tool Netdom an. -Zahni Quote Link to comment
Lehrling-CH 10 Posted July 19, 2005 Author Report Share Posted July 19, 2005 OK, ich versuchs nochmals... Also, Es existiert eine domäne welche Benutzer hat und Administrator. Wenn nun ein Benutzer einen PC z.B. einen Laptop von Zuhause mitnimmt und denn dann vom Laptop aus von Arbeitsgruppe auf Domäne wechseln will, geht das nicht (sollte es auch nicht). Wenn nun aber der Administrator das erlauben möchte, fügt er den Laptop Namen im AD ein. Nun sollte der Benutzer seinen Laptop von Arbeitsgruppe in die Domäne wechseln können. Ist es jetzt verständlich? Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.