Hinzufügen eines PC an eine Domäne

[Natascha27 10]

Hallo Jungs,

 

Fakts: WinServer 2003!!!

Clients: WinXP

 

ich versuche krampfhaft einen Pc der zur Zeit noch in einer Workgroup steht in unserer Domäne hinzuzufügen! Dies kommt immer wieder mal vor!

 

Dies gelingt mir ohne Probleme wenn ich (als lokaler Admin angemeldet bin) folgendes tue:

Start --> Systemsteuerung --> System --> Computername ändern und dann Domäne anklicke und mich dann als Domänenadministrator authentifiziere!!!

 

Jetzt die Schwierigkeit, meine Schwester soll mich demnächst hier vertreten, sie soll aber nicht das Administratorpasswort der Domäne wissen!!!!

 

Welche Berechtigung muß ich ihrem User zuweisen un wie mache ich das!

 

Hoffe auf baldige Antwort

Eure Natascha ;)

[Necron 71]

Welche Berechtigung muß ich ihrem User zuweisen un wie mache ich das!

Du könntest ihren Benutzeraccount der Gruppe Domänen-Admins hinzufügen, dann kann sie auch Computer der Domäne hinzufügen. Sie kann aber auch welche löschen bzw. User löschen. Sie hat dann allen nötigen Rechte um in der gesamten Domäne etwas zu ändern.

[Natascha27 10]

Hey Daniel,

 

danke für die Antwort, aber das wäre ein wenig zuviel an Berechtigungen! Das gibt Ärger mit Big Chefe, wenn sie Domänen-Admin wäre!

 

Ich möchte ihr lediglich diese Berechtigung zuweisen! Aber welche ist das und wo steht diese?

[carlito 10]

Ich möchte ihr lediglich diese Berechtigung zuweisen! Aber welche ist das und wo steht diese?

 

Stichwort: Delegierung (ADUC). Genaueres müsste ich selbst erstmal nachschauen...

[lefg 276]

Hallo,

 

dazu gibt es doch eine Richtlinie im AD. Es wurde schon mehrfach behandelt. Die Boardsuche sollte das eigentlich Zutage fördern.

Falls ich mich richtig erinnere, kann ein beliebiger User mit entspechenden Rechten auf dem lokalen Rechner diesen einer Domäne hinzufügen, falls dieses im AD nicht abgewählt wurde.

 

Viel Erfolg

 

Edgar

[Natascha27 10]

Sorry lieber Edgar,

 

aber dann hätte ich diesen Thread überhaupt nicht aufgemacht, wenn es so einfach funktionieren würde!

 

Dann bräuchte man ja nichts machen!

[IThome 10]

Ja genau, das Benutzerrecht "Hinzufügen von Arbeitsstationen zur Domäne" in der Default Domain Controllers Policy , da stehen die Authentifizierten Benutzer drin, und die dürfen 10 Konten zufügen, man muss also keinen Domänenadminkonto angeben, sondern kann auch einen normalen Domänenbenutzer angeben (in dem Bestätigungsdialog), also darf Deine Schwester mit Ihrem Domänenkonto 10 Computer der Domäne zufügen.

[aldisachen 11]

hallo natascha27,

 

nachdem du im ad ein konto eingerichtet hast. kannst du in der gpo des dc einen punkt aktivieren, indem du festlegen kannst, wer berechtigt ist, arbeitsstationen in die domäne einzubinden. findest du in der gpo unter:

 

Windows-Einstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten ->

Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird

 

Diesen Punkt aktivieren und den jeweiligen Benutzer / Gruppe auswählen. Fertig.

[aldisachen 11]

berichtigung, nicht der punkt:

 

"Ermöglichen, dass Computer- und Benutzerkonten für Delegierungszwecke vertraut wird"

 

sondern:

 

"Hinzufügen von Arbeitsstationen zur Domäne". Ist aber auch in "Zuweisen von Benutzerrechten. sorry.

[Bobby.B 10]

Hallo Natascha27,

Hier noch eine Lösung von mir:

 

Du musst im Active Directory User and Computers die Ansicht auf erweiterte Funktionen stellen. Dann auf die Domäne -> Eigenschaften -> Sicherheit -> Die Gruppe mit deiner Schwester (eventuell legst du eine neue Gruppe an in der sie Mitglied isT), hinzufügen ->

dann auf Erweitert -> jetzt suchst du die Gruppe mit deiner Schwester und klickst auf bearbeiten-> nun kannst du Ihr viele viele Rechte einzeln geben unter anderem auch "Computer erstellen".

Sie braucht allerdings lokale Adminrechte auf der jeweiligen Workstation.

 

Gruß

Bobby

[carlito 10]

Falls ich mich richtig erinnere, kann ein beliebiger User mit entspechenden Rechten auf dem lokalen Rechner diesen einer Domäne hinzufügen, falls dieses im AD nicht abgewählt wurde.

 

Etwas genauer:

Jeder User darf standardmäßig bis zu 10 Computerkonten in Active Directory erstellen, also maximal 10 Computer in eine Domäne aufnehmen. Das funktioniert AFAIK allerdings nur, wenn die entsprechenden Computerkonten vorher nicht im AD angelegt wurden!

[carlito 10]

Du musst im Active Directory User and Computers die Ansicht auf erweiterte Funktionen stellen. Dann auf die Domäne -> Eigenschaften -> Sicherheit -> Die Gruppe mit deiner Schwester (eventuell legst du eine neue Gruppe an in der sie Mitglied isT), hinzufügen ->

dann auf Erweitert -> jetzt suchst du die Gruppe mit deiner Schwester und klickst auf bearbeiten-> nun kannst du Ihr viele viele Rechte einzeln geben unter anderem auch "Computer erstellen".

 

Ich glaube das war es, was ich vorhin meinte. Allerdings mit einzelnen Usern. Ich hatte sowas in Erinnerung... ;)

 

Wobei das ja nicht nötig ist, wenn an dem (ich nenne es mal "10 User Standard") nichts verändert wurde. Allerdings kann man über obige Lösung detailliert Berechtigungen vergeben.

[Natascha27 10]

Okay, das probiere ich gleich mal aus!

[Natascha27 10]

Danke Carlito, das war die Lösung,

 

es funktionierte nicht weil der Computer noch im AD gelistet war, deswegen konnte irgendein User ihn nicht zur Domäne hinzufügen! Der Admin aber leider schon!

 

Kaum löscht man den Computer aus dem AD, schon darf ihn jeder der in der GPO

(Standard-Auth.Benutzer) gelistet ist 10 mal hinzufügen!

 

Also wurde die GPO auf only Admin+Schwester geändert!

 

Per ADSI-Editor die Zahl von 10 auf 1000 erhöht! "ms-ds-machineaccountQuato"!!!! :D