Lehrling-CH 10 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 Hallo Zusammen Ich habe folgendes Problem: Ich habe einen W2k3 Server und XP Clients. Auf dem Server ist AD installiert und fast fertig eingerichtet. Ich möchte das ein Domänebenutzer einen Client erst in die Domäne einbinden kann, wenn der Computer im AD erfasst wurde. Ansonsten soll eine Eingindung verweigert werden. Jetzt meine Frage: Was für Group Policies muss ich dafür setzen. Ich habe es bereits mit, "Add Workstations to Domain" versucht, bis jetzt ohne erfolg. Für eine Antwort wäre ich Dankbar
zahni 587 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 Das würde ich den Benutzern komplett verbieten (schon aus Sicherheitsgruünden): In der "Default Domain Controllers Policy" nach "Lokale Richtlinien/Überwachungsrichtlinie" suchen, Sicherstellen, dass bei "Hinzufügen von Arbeitsstationen zur Domäne" nur "Administratoren". Bedenke: Wenn "Hinz und Kunz" einen Benutzer-account auspäht, kann er sich nach belieben mit einem Laptop in Deine Domane einklinken. -Zahni
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Geschrieben 19. Juli 2005 Nein, ich glaube du verstehst das falsch. Der User kann nur einen Computer Client, lokal bei sich inzufühgen. Also bei sich unter Rechtsklick Arbeitsplatz -->Properties-->Computername und dort kann er seine Maschiene einbinden. Aber auch nur dann, wenn das Gerät im AD erfasst wurde.
Hr_Rossi 10 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 hi also irgendwie verstehe ich auch nicht was du meinst ! Der User kann nur einen Computer Client, lokal bei sich inzufühgen. Also bei sich unterRechtsklick Arbeitsplatz -->Properties-->Computername und dort kann er seine Maschiene einbinden. Aber auch nur dann, wenn das Gerät im AD erfasst wurde. Also ist der Computer schon in der Dom. oder nicht !? Willst du einem User Rechte geben, das er einen Computer hinzufügen kann oder was ? Oder einen user Rechte geben den Comp aus der Dom. entfernen lg rossi
zahni 587 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 Wenn Du dort auf "Ändern" klickts, wird der Computer zu Domäne hinzügt. Es wird eine Domänen-Computer-SID erzeugt und ein Computer-Kennwort festgelegt.. Egal, ob das Computerkonto vorher in der Domäne erzeugt wurde. Ohne die weiter oben beschriebene Änderung ist das jedem Benutzerkonto 10x erlaubt (habe ich mal auf einem MS-Sicherheitsseminar gehört). -Zahni
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Geschrieben 19. Juli 2005 Also nochmals, der Computer ist noch nicht in der Domäne eingebunden. Der User selber kann dann wieder über rechtsklick Arbeitsplatz etc. den Computer in die Domäne einbinden. Aber Nur wenn der Domäneadministrator den Computer im AD als Objekt hinzugefügt hat, sonst soll es verweigert werden.
posterboy 10 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 Hi, ich kann meine Clientcomputer nur mit einem Account aus der Gruppe der Admins (Domäne)hinzufügen. Mein W2K3 ist standartmäßig installiert. Ich habe keine weiteren GPO's. gruß posterboy
zahni 587 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 Ist vielleicht Standard bei Windows 2003. Ich habe als Domänencontroller noch 2000 . Da ging es. -Zahni
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Geschrieben 19. Juli 2005 Ich kann das mitlerweile auch. Es wird in der Group Policy unter dem Schlüssel "Add workstations to domain" definiert. Wenn man jedoch vor der Einbindung, den Computer als Objekt in der Active Directory hinzufügt, sollten alle user den entsprechenden Client in die Domäne einbinden können.
zahni 587 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 ...Und das ist keine gute Idee (Sicherheit !) -Zahni
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Geschrieben 19. Juli 2005 lassen wir mal das thema sicherheit weg, dafür sorge ich schon noch. Mit geht es primär darum das ich dass hinkriege.
dmetzger 10 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 "Lassen wir mal das Thema Sicherheit weg, dafür sorge ich schon noch." Die beste Aussage, um als Admin durch eine verantwortungsvolle Geschäftsführung sofort entlassen zu werden.
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Geschrieben 19. Juli 2005 Hat mir diese Aussage weitergeholfen? Gibt es nun eine Möglichkeit? Oder versteht ihr überhaupt, was ich machen will?
zahni 587 Geschrieben 19. Juli 2005 Melden Geschrieben 19. Juli 2005 Villeicht haben wir immer noch nicht verstanden, was Du machen willst ? Schau Dir mal das Tool Netdom an. -Zahni
Lehrling-CH 10 Geschrieben 19. Juli 2005 Autor Melden Geschrieben 19. Juli 2005 OK, ich versuchs nochmals... Also, Es existiert eine domäne welche Benutzer hat und Administrator. Wenn nun ein Benutzer einen PC z.B. einen Laptop von Zuhause mitnimmt und denn dann vom Laptop aus von Arbeitsgruppe auf Domäne wechseln will, geht das nicht (sollte es auch nicht). Wenn nun aber der Administrator das erlauben möchte, fügt er den Laptop Namen im AD ein. Nun sollte der Benutzer seinen Laptop von Arbeitsgruppe in die Domäne wechseln können. Ist es jetzt verständlich?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden