WinFuture-Forum.de: Active Directory - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Windows Server
  • 2 Seiten +
  • 1
  • 2

Active Directory Default Computer Folder


#1 Mitglied ist offline   Takeshi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 79
  • Beigetreten: 18. September 07
  • Reputation: 0

geschrieben 06. Dezember 2007 - 14:47

Hallo,

Also ich habe einen neuen Computer Ordner erstellt...
jetzt sollen aber die Clients die sich joinen sofort in diesen ordner rein
weil ich eine GPO setzen will die alles verbietet und mann mich zuerst fragen muss damit mann ins netzwerk kann
wie stell ich dass an
muss ich dass in der default domain policy was ändern oder wo mache ich dass ?
0

Anzeige



#2 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 06. Dezember 2007 - 18:23

Also erstmal vorab... sie sollen dich erst fragen, ob sie sich in der Domäne anmelden dürfen? Das ist nämlich deine Aussage mit dem Netzwerk.

Zweitens verstehe ich immer noch nicht, auch nach unzähligem Lesen, was du jetzt genau möchtest.

Drittens in der Default Domain Policy sollte gar nichts geändert werden, des kann zu Probs führen.... wenn es für alle gelten soll, dann höchstens eine erstellen und die dann soweit wie nur möglich in der Hierarchie nach oben legen, nur nicht auf Domänen-Ebene, selbst wenn es heißt, dass du mehrer Verknüpfungen anlegen musst.
0

#3 Mitglied ist offline   Takeshi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 79
  • Beigetreten: 18. September 07
  • Reputation: 0

geschrieben 10. Dezember 2007 - 10:03

nach langem suchen hab ich jetzt was gefunden ^^ :D

im system32 gibt es die redircmp.exe

mit dieser exe kann man den neuen zielordner für die computer bestimmen

@decay
ich wollte nur dass alle computer die sich in die domäne joinen in einen kontainer geraten wo sie nichts machen können.
es könnte ja jemand sein notebook von zuhause mitbringen sich in die domäne joinen,
da jeder user ja glaub ca 10 pc aufnehmen darf nach default gpo
somit hätte er ja schon zugriff auf alle server -.- ...
also wenn jemand in die domäne will muss er früher oder später zu mir kommen
0

#4 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 10. Dezember 2007 - 11:08

Wie soll bitte jemand in die Domäne joinen, wenn der Admin es nicht zulässt?
Da kann ich sonst noch für ein tollen Rechner mitbringen.

Und wenn jemand in die Domäne will, muss des sowieso vom Admin aus passieren.

Das ist der Sinn einer Active Directory basierenden Domäne.
0

#5 Mitglied ist offline   Takeshi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 79
  • Beigetreten: 18. September 07
  • Reputation: 0

geschrieben 10. Dezember 2007 - 11:23

jeder domänen benutzer hat rechte einen pc in die domäne aufzunehmen
wenn jemand einen pc in die domäne aufnehmen will kommt er zu mir und ich verschiebe dann seinen pc in den richtigen kontainer

warum sollte dass so nicht auch gehen ?
0

#6 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 11. Dezember 2007 - 11:58

Seit wann haben Domänen-Benutzer die Möglichkeit, irgend jemand in die Domäne an zu melden?
Da scheint bei euch etwas verkehrt zu laufen. Normalerweise geht des erst ab Domänen-Administrator (in der Domäne) bzw. lokaler Admin (neues Joinen).
Eventuell mal die Berechtigungen der Clients überprüfen bzw. Delegationsberechtigungen in der Domäne.

HIER nach zu lesen.

Beachte mal den Hinweisabschnitt!!!

Dieser Beitrag wurde von Decay bearbeitet: 11. Dezember 2007 - 12:08

0

#7 Mitglied ist offline   rubbishbin 

  • Gruppe: aktive Mitglieder
  • Beiträge: 95
  • Beigetreten: 31. Januar 06
  • Reputation: 0
  • Wohnort:Universum, lokaler Superhaufen, lokale Gruppe von Galaxien, Milchstraßensystem, Umgebung des Orion-Arms, Nachbarschaft der Sonne, Sonnensystem, Erde, Europa, Deutschland, Berlin, Berlin-Schöneberg

geschrieben 11. Dezember 2007 - 12:14

@Decay: Wahrscheinlich sind die Sicherheitsvorkehrungen da nicht sehr ausgetueftelt, was in einem Computerlabor oder ähnliches auch durchaus Sinn macht. So hat dort wahrscheinlich jeder die Möglichkeit sich in der Domäne anzumelden. Soweit mich meine Kenntnisse nicht täuschen, muss man dazu ja nur das Administrator-Passwort kennen.

@Takeshi: Die Lösung hört sich erst mal nicht so schlecht an. Ich wuerde aber trotzdem empfehlen, dass auf Decays Weise zu machen und nur dem Domänen-Admin die Rechte, einen neuen Rechner in die Domäne zu integrieren, geben.
0

#8 Mitglied ist offline   Takeshi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 79
  • Beigetreten: 18. September 07
  • Reputation: 0

geschrieben 11. Dezember 2007 - 15:38

ja die benutzer die auf den clients arbeiten haben lokale adminrechte die brauchen sie auch
ich würd mich anschauen wenn ich als techniker keine lokalen admin rechte hätte
nur ists so dass nicht jeder einen domänen admin besitzen darf

aber wegen dem domänen join siehts so aus :

Ein Benutzeraccount einer Domäne ist per Default berechtigt bis zu 10 Computerkonten im AD anzulegen
das heißt sobald er seinen pc in die domäne joint erstellt er ein computerkonto im default ordner von ad

er braucht dazu keinen admin außer man sperrt es in der gruppenrichtlinie
deswegen habe ich den zielordner umgeleitet wegen übersicht und der gpo

und solange ich die default nicht umgestellt habe kann ich es doch gleich so machen
oder nicht ?
0

#9 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 11. Dezember 2007 - 18:43

Verstehe mich bitte nicht falsch, aber irgendwie bringst du alles durcheinander.
Ein Domänenbenutzer darf gar nichts.
Entweder bist du Domänen-Admin (für Rechner, die schon in der Domäne sind) oder du bist lokaler Admin.
Diese dürfen in einer Domäne joinen, wenn sie sichdann mit ein Domänen-Account anmelden.

Lies dir den Artikel noch mal durch, den ich oben gepostet habe.
0

#10 Mitglied ist offline   Takeshi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 79
  • Beigetreten: 18. September 07
  • Reputation: 0

geschrieben 11. Dezember 2007 - 19:39

habs jetzt ausprobiert
hab einen wserver2003 installiert und ein windows xp
konnte den rechner mit dem neu erstellten benutzer in die domäne aufnehmen

natürlich bin ich mit einem lokalem admin eingeloggt wenn ich den pc in die domäne aufnehme
und bei der eingabe wo ich der domäne beitreten will gebe ich meinen domänen benutzer an und schon ist der pc drinn nur darf der domänen benutzer dass maximal 10x machen dann gehts nichtmehr

und was soll ich jetzt durcheinander bringen ?

probiers doch selber aus
ich hatte keine probleme :)

Dieser Beitrag wurde von Urne bearbeitet: 11. Dezember 2007 - 20:01

0

#11 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 11. Dezember 2007 - 22:35

Dass du dich etwas falsch ausgedrückt hast.
So wie du es jetzt beschrieben hast, funzt es auch.

So und nun zurück zu deinem Problem:
Du solltest erstmal abwägen, ob es ratsam ist, die User lokale Admin-Rechte gewähren zu lassen.
Immerhin ist das ein Sicherheitsrisiko, besonders, wenn man an hochsensible Daten fuhrwerkt.
Versuch da mal mit deinem Chef über diese Sache zu sprechen.
Dafür gibt es ja die GPOs, um den Benutzen die Möglichkeit zu geben etwas mehr zu dürfen.

Es ist immer besser, alles erst zu verbieten und dann nach und nach den Bedürfnissen entsprechend die Risktriktivität zu lockern.

Dann passiert des auch nit mehr, dass User joinen können. Denn dazu müssen sie dich fragen.

Stell die mal ein Worst Case Scenario vor, wenn jeder im Netzwerk tun dürfte, was er möchte (mal abgesehen vom Man in the Middle). Da braucht bloß jemand ein kompromitierten Rechner joinen und dann wären im schlimmsten Fall alle Daten weg.
Ob sich das ein Labor leisten könnte?

Wäre eine gute Argumentation gegenüber deinem Chef.

Was du machen könntest, wäre mal nach zu sehen, warum normale Domänenbenutzer das Privileg genießen, dass lokale Admins joinen dürfen.
Denn das sollte eigentlich nicht sein, da sonst jeder Man in the Middle joinen könnte.

Dieser Beitrag wurde von Decay bearbeitet: 11. Dezember 2007 - 22:41

0

#12 Mitglied ist offline   Takeshi 

  • Gruppe: aktive Mitglieder
  • Beiträge: 79
  • Beigetreten: 18. September 07
  • Reputation: 0

geschrieben 11. Dezember 2007 - 23:15

ja darum war ja auch mein gedanke dass ich den default computer ordner im ad ändere
weil dann kann ich eine gpo erstellen die alles sperrt, was im default ordner nicht geht.
dann ist es mir egal dass die domänen benutzer einen pc in die domäne joinen können, sie können ja nichts machen ^^ und ich spar mir den weg zum pc und muss ihn nur im ad verschieben
0

#13 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 12. Dezember 2007 - 13:13

Im Ordner selber kannst du des doch den Berechtigungen einstellen, was die da tun dürfen und was nicht.
0

#14 Mitglied ist offline   loop24 

  • Gruppe: Mitglieder
  • Beiträge: 1
  • Beigetreten: 13. Dezember 07
  • Reputation: 0

geschrieben 13. Dezember 2007 - 16:23

Hallo zusammen, bin selber grad über das Problem gestolpert, und ich hab gedacht meine augen lügen mich an als ich das folgende gelesen habe (ich wusste das schlicht bisher nicht... :smokin: ):

http://support.micro...kb/243327/en-us

By default, Windows 2000 allows authenticated users to join ten machine accounts to the domain. If a user attempts to join an eleventh machine account, the error messages listed in the following Microsoft Knowledge Base Article are displayed:
251335 (http://support.micro....com/kb/251335/) Domain users cannot join workstation or server to a domain
This default was implemented to prevent misuse, but can be overridden by an administrator by making a change to an object in Active Directory.

Note that users in the Administrators or Domain Administrators groups, and those users who have delegated permissions on containers in Active Directory to create and delete computer accounts, are not restricted by this limitation.

MORE INFORMATION
The number of workstations currently owned by a user is calculated by looking at the ms-DS-CreatorSID attribute of machine accounts.

To modify Active Directory to allow more (or fewer) machine accounts on the domain, use the Adsiedit tool.

WARNING Using Adsiedit incorrectly can cause serious problems that may require you to reinstall your operating system. Microsoft cannot guarantee that problems resulting from the incorrect use of Adsiedit can be solved. Use Adsiedit at your own risk. 1. Install the Windows 2000 Support tools if they have not already been installed. Run Setup.exe from the Support\Tools folder on the Windows 2000 Server or Professional CD-ROM.
2. Run Adsiedit.msc as an administrator of the domain. Expand the Domain NC node. This node contains an object that begins with "DC=" and reflects the correct domain name. Right-click this object, and then click Properties.
3. In the Select which properties to view box, click Both. In the Select a property to view box, click ms-DS-MachineAccountQuota.
4. In the Edit Attribute box, type the number of workstations that you want users to be able to maintain concurrently.
5. Click Set, and then click OK.
0

#15 Mitglied ist offline   Decay 

  • Gruppe: aktive Mitglieder
  • Beiträge: 884
  • Beigetreten: 09. Juni 04
  • Reputation: 7
  • Geschlecht:Männlich

geschrieben 13. Dezember 2007 - 19:18

Beitrag anzeigenZitat (loop24: 13.12.2007, 16:23)

Hallo zusammen, bin selber grad über das Problem gestolpert, und ich hab gedacht meine augen lügen mich an als ich das folgende gelesen habe (ich wusste das schlicht bisher nicht... :smokin: ):

http://support.micro...kb/243327/en-us

Wie gesagt, normalerweise sollten User auch kein lokalen Admin-Account haben.
In der Domäne haben sie es ja auch nicht. :lol:

Dieser Beitrag wurde von Decay bearbeitet: 13. Dezember 2007 - 19:19

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0