22
Notwendige Schritte - Nur Domänen-Admins dürfen AD-Join ausführen
Hallo!
Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen. Leider habe ich abweichende Anleitungen gefunden und blicke nicht mehr durch.
Zielsetzung: Domänen-Admins dürfen eine beliebige Anzahl hinzufügen, User gar keine.
Es gibt die GPO:
Lokale Richtlinien - Hinzufügen von Arbeitsstationen zur Domäne
-> Standardwert Authentifizierte Benutzer
Es gibt via ADSIEdit:
ms-DS-MachineAccountQuota
-> Anzahl Computer, die ein User hinzufügen darf
Es gibt die Zuweisung der Objektverwaltung auf die OU "Computer"
Wie geht ihr hier vor?
Reicht es, aus der GPO "Authentifizierte Benutzer" durch Domänen-Admins zu ersetzen, oder muss ich an die anderen zwei Themen?
Setzt ihr einfach nur ms-DS-MachineAccountQuota=0?
Danke und Grüße
Phil
Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen. Leider habe ich abweichende Anleitungen gefunden und blicke nicht mehr durch.
Zielsetzung: Domänen-Admins dürfen eine beliebige Anzahl hinzufügen, User gar keine.
Es gibt die GPO:
Lokale Richtlinien - Hinzufügen von Arbeitsstationen zur Domäne
-> Standardwert Authentifizierte Benutzer
Es gibt via ADSIEdit:
ms-DS-MachineAccountQuota
-> Anzahl Computer, die ein User hinzufügen darf
Es gibt die Zuweisung der Objektverwaltung auf die OU "Computer"
Wie geht ihr hier vor?
Reicht es, aus der GPO "Authentifizierte Benutzer" durch Domänen-Admins zu ersetzen, oder muss ich an die anderen zwei Themen?
Setzt ihr einfach nur ms-DS-MachineAccountQuota=0?
Danke und Grüße
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41029321333
Url: https://administrator.de/contentid/41029321333
Printed on: May 19, 2024 at 21:05 o'clock
22 Comments
Latest comment
Moin,
Evtl. den Usern die Adminrechte wegnehmen?!
Gruß
Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen
? User ohne Adminpasswort oder Adminrechte dürfen ohnehin keine Rechner in die Domain packen!?Evtl. den Usern die Adminrechte wegnehmen?!
Gruß
Seit wann können Benutzer einen AD-Join ausführen? Dazu wird immer ein Administrator-Account der Domäne benötigt.
Gruss Penny.
Gruss Penny.
Moin...
äh... also wenn natürlich das Admin Passwort bekannt ist, wie ein Bunter Hund, dann würde ich das Passwort als erstes ändern!
und wenn deine User alle in der Gruppe der Dom Admins sind, ist das auch kein wunder, das sowas möglich ist!
Frank
Zielsetzung: Domänen-Admins dürfen eine beliebige Anzahl hinzufügen, User gar keine.
äh... also wenn natürlich das Admin Passwort bekannt ist, wie ein Bunter Hund, dann würde ich das Passwort als erstes ändern!
und wenn deine User alle in der Gruppe der Dom Admins sind, ist das auch kein wunder, das sowas möglich ist!
Frank
Schön, wie mir hier unterstellt wird, meine User hätten Admin-Zugänge. Wo schreibe ich das bitte??
Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...
Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---
Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...
Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---
Moin....
Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...
Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---
sag mal, von welchem Server OS reden wir eigentlich?
Frank
Zitat von @Der-Phil:
Schön, wie mir hier unterstellt wird, meine User hätten Admin-Zugänge. Wo schreibe ich das bitte??
nirgendwo... ist einfach eine Schlussfolgerung!Schön, wie mir hier unterstellt wird, meine User hätten Admin-Zugänge. Wo schreibe ich das bitte??
Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...
Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---
Frank
Natürlich dürfen -im Standard- auch normale User Geräte in das AD joinen.
https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-domain- ...
https://www.windowspro.de/wolfgang-sommergut/berechtigungen-fuer-domain- ...
3
Ich würde auch Domainadmins nicht nutzen um Rechner der Domäne zu joinen sondern einen dedizierten User dafür anlegen.
+1, ja sie dürfen es. Das habe ich schon mehrmals mit meinem "normalen" nicht-Domainadmin Benutzer praktiziert und diese "max 10 Clients hinzufügen" Regelung selbst "by doing" kennen gelernt.
Zumindest ist das by default bei jedem neuen Active Directory der Fall. Es mag sein, dass Admins das gleich bei der Domainerstellung bereits raus nehmen und dadurch andere Admins diese Regel erst gar nicht kennen lernen und als default davon ausgehen, dass es nicht funktioniert.
Zumindest ist das by default bei jedem neuen Active Directory der Fall. Es mag sein, dass Admins das gleich bei der Domainerstellung bereits raus nehmen und dadurch andere Admins diese Regel erst gar nicht kennen lernen und als default davon ausgehen, dass es nicht funktioniert.
Ich würde auch Domainadmins nicht nutzen um Rechner der Domäne zu joinen sondern einen dedizierten User dafür anlegen.
Mit welcher Delegierung hast du das erreicht? Gibts dafür eine Anleitung im Netz?
Zitat von @NordicMike:
Ich würde auch Domainadmins nicht nutzen um Rechner der Domäne zu joinen sondern einen dedizierten User dafür anlegen.
Mit welcher Delegierung hast du das erreicht? Gibts dafür eine Anleitung im Netz?Selbst noch nicht umgesetzt, aber hier sollte dir, unterhalb von "Resolution" geholfen werden können:
https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...
Erforderliche Rechte laut dem Link:
9. In the Permissions list, click to select the following check boxes:
* Reset Password
* Read and write Account Restrictions
* Validated write to DNS host name
* Validated write to service principal name
Danke dir
Interessante Aussagen
JA, ein "normaler" User darf max 10 ...... probiert's das einfach aus. Ob AD oder Samba .... egal.
Ich würde auch ein Konto mit den gerade notwendigen Rechten anlegen .....
JA, ein "normaler" User darf max 10 ...... probiert's das einfach aus. Ob AD oder Samba .... egal.
Ich würde auch ein Konto mit den gerade notwendigen Rechten anlegen .....
Nachdem das umgesetzt ist auch dran denken alle Computer die von Usern hinzugefügt wurden in Besitz zu nehmen.
User die einen Computer zum AD hinzugefügt haben sind im AD Besitzer von diesem und können darüber sehr leicht lokale admin rechte auf dem PC bekommen.
User die einen Computer zum AD hinzugefügt haben sind im AD Besitzer von diesem und können darüber sehr leicht lokale admin rechte auf dem PC bekommen.
Moin,
irgendwie haben ja beide Seiten recht:
Man braucht im Standard keine Adminrechte in der Domain, um insgesamt 10 Rechner in die Domain zu bringen.
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.
My best practice:
1. Das hier machen: https://www.der-windows-papst.de/2019/01/01/berechtigung-zum-hinzufuegen ...
Das langt vollkommen, um den Usern das Recht zu nehmen.
2. Vor dem Join wird das Konto im AD angelegt und der IT-Gruppe (eingeschränkte Konten) wird das
Recht gegeben, den Rechner in die Domain zu bringen. Das hat den Vorteil, dass Tippfehler im Rechnernamen sofort auffallen, da man sich selten an beiden Stellen vertippt.
Ergänzend dazu: Auch wenn die User keine lokalen Adminrechte haben, sollte die Maßnahme durchgeführt werden, da sonst die Gefahr besteht, dass User ihre Privatgeräte, auf denen sie natürlich auch Adminrechte haben, in die Domain einschleusen.
hth
Erik
irgendwie haben ja beide Seiten recht:
Man braucht im Standard keine Adminrechte in der Domain, um insgesamt 10 Rechner in die Domain zu bringen.
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.
My best practice:
1. Das hier machen: https://www.der-windows-papst.de/2019/01/01/berechtigung-zum-hinzufuegen ...
Das langt vollkommen, um den Usern das Recht zu nehmen.
2. Vor dem Join wird das Konto im AD angelegt und der IT-Gruppe (eingeschränkte Konten) wird das
Recht gegeben, den Rechner in die Domain zu bringen. Das hat den Vorteil, dass Tippfehler im Rechnernamen sofort auffallen, da man sich selten an beiden Stellen vertippt.
Ergänzend dazu: Auch wenn die User keine lokalen Adminrechte haben, sollte die Maßnahme durchgeführt werden, da sonst die Gefahr besteht, dass User ihre Privatgeräte, auf denen sie natürlich auch Adminrechte haben, in die Domain einschleusen.
hth
Erik
2
@all
also .. .also verantwortlicher Admin für die Sicherheit des Netzes würden sich mir die Fußnägel kräuseln wenn ich wüsste, dass da Leute beliebige Hardware ins AD brächten. Eine schauerliche Vorstellung.
Wir wissen ja nicht den Grund, warum der TO das realisieren mag. Aber unkontrolliert gar irgendwelche Spionier-Rechner under Virenschleudern ins Netz bringen ... Gratulation.
Kreuzberger
also .. .also verantwortlicher Admin für die Sicherheit des Netzes würden sich mir die Fußnägel kräuseln wenn ich wüsste, dass da Leute beliebige Hardware ins AD brächten. Eine schauerliche Vorstellung.
Wir wissen ja nicht den Grund, warum der TO das realisieren mag. Aber unkontrolliert gar irgendwelche Spionier-Rechner under Virenschleudern ins Netz bringen ... Gratulation.
Kreuzberger
Zitat von @kreuzberger:
@all
also .. .also verantwortlicher Admin für die Sicherheit des Netzes würden sich mir die Fußnägel kräuseln wenn ich wüsste, dass da Leute beliebige Hardware ins AD brächten. Eine schauerliche Vorstellung.
Wir wissen ja nicht den Grund, warum der TO das realisieren mag. Aber unkontrolliert gar irgendwelche Spionier-Rechner under Virenschleudern ins Netz bringen ... Gratulation.
Kreuzberger
@all
also .. .also verantwortlicher Admin für die Sicherheit des Netzes würden sich mir die Fußnägel kräuseln wenn ich wüsste, dass da Leute beliebige Hardware ins AD brächten. Eine schauerliche Vorstellung.
Wir wissen ja nicht den Grund, warum der TO das realisieren mag. Aber unkontrolliert gar irgendwelche Spionier-Rechner under Virenschleudern ins Netz bringen ... Gratulation.
Kreuzberger
Vll. liest du den Post des TO nochmal durch. Es geht ihm doch gerade darum, dass das verhindert wird.
Der Thread macht mich wirklich fertig. Erst kommen Kommentare, die einfach falsch sind (kann passieren). Dann kommen Vorwürfe ohne Ende, weil so "unwichtige Worte", wie "nicht" überlesen werden.
Gerade bin ich wirklich frustriert.
An die Personen mit konstruktiven Beiträgen: Vielen Dank!
Gerade bin ich wirklich frustriert.
An die Personen mit konstruktiven Beiträgen: Vielen Dank!
2
Tschullldigungh
🙄
🙄
4
Moin @erikro
@Der-Phil
Gruß,
Dani
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.
Woher stammt die Info? Hab ich in keinen der verlinkten Artikel hier im Beitrag herausgelesen.@Der-Phil
Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen. Leider habe ich abweichende Anleitungen gefunden und blicke nicht mehr durch.
Unabhängig von den Meinungen und Vorschlägen, würde ich sowas immer in einem Lab ausprobieren, dokumentieren. Wenn alles tut wie es soll auf das produktive System umsetzen. Damit verkommt das das Ganz nicht zu einem TestProd System.Gruß,
Dani
Zitat von @Der-Phil:
Wie geht ihr hier vor?
Reicht es, aus der GPO "Authentifizierte Benutzer" durch Domänen-Admins zu ersetzen, oder muss ich an die anderen zwei Themen?
Setzt ihr einfach nur ms-DS-MachineAccountQuota=0?
Wie geht ihr hier vor?
Reicht es, aus der GPO "Authentifizierte Benutzer" durch Domänen-Admins zu ersetzen, oder muss ich an die anderen zwei Themen?
Setzt ihr einfach nur ms-DS-MachineAccountQuota=0?
Moin,
ich empfehle den Kunden die Quota auf 0 zu setzen, damit ist die Sache dann erledigt.
/Thomas
Moin,
Das ist schon seit NT so, dass das Ändern des Namens und der Domainzugehörigkeit des Computers lokale Adminrechte voraussetzt. Sonst kommst Du gar nicht da hin. Probiere es halt mal aus unter einem eingeschränkten User.
Liebe Grüße
Erik
Zitat von @Dani:
Moin @erikro
Moin @erikro
Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.
Woher stammt die Info? Hab ich in keinen der verlinkten Artikel hier im Beitrag herausgelesen.Das ist schon seit NT so, dass das Ändern des Namens und der Domainzugehörigkeit des Computers lokale Adminrechte voraussetzt. Sonst kommst Du gar nicht da hin. Probiere es halt mal aus unter einem eingeschränkten User.
Liebe Grüße
Erik
2
Moin @eriko,
ich dachte bei WindowsXP/Windows 7 war es anders... aber ich habe beides nicht mehr um dies zu testen.
Bei Windows 10 und 11 ist es definitiv so. Da bin ich bei dir.
Gruß,
Dani
ich dachte bei WindowsXP/Windows 7 war es anders... aber ich habe beides nicht mehr um dies zu testen.
Bei Windows 10 und 11 ist es definitiv so. Da bin ich bei dir.
Gruß,
Dani
