tobbert
Goto Top

10 Computer in Domain einbinden durch Authentifizierte Benutzer

Hallo Leutz,

in nem Buch hab ich folgendes gelesen: "Dass ein Authentifizierte Benutzer (Jeder)
nur 10 Computer der Domäne hinzufügen kann"


Möglichkeit 1:
Wie soll man das verstehen? - Jeder Benutzer hat also das Recht,
wenn er lokale AdminRechte besitzt, einen PC in die Domäne aufzunehmen?
Dieser PC wird dann der Gruppe "Computers" im AD hinzugefügt?


Mögichkeit 2: Um das zu verhindern
Man nimmt den PC (mit den richtigen PC Namen vorher in die Domäne auf (sprich
einen neuen PC im AD anlegen (wozu man mind. Konten Rechte braucht)
und vergibt dann die z.B. die Rechte, das nur Domain-Admins diesen PC in die Domain hinzufügen dürfen / können?


MfG

Content-Key: 62059

Url: https://administrator.de/contentid/62059

Ausgedruckt am: 28.03.2024 um 22:03 Uhr

Mitglied: Sylvio
Sylvio 22.06.2007 um 11:09:08 Uhr
Goto Top
Hi,

Was für ein Buch ist das???
habe noch nie gehörrt das ein "Domain User/Benutzer" Rechner in die Domäne fahren darf.
Dafür wird schon mehr wie "nur" Domain_Benutzer rechte verlangt.
Sylvio
Mitglied: Randyman
Randyman 23.06.2007 um 14:06:37 Uhr
Goto Top
Hi,

standardmäßig kann kein nomaler Benutzer einen Rechner ins AD hängen, auch nicht als lokaler Admin.
Man kann jedoch über die Sicherheitsrichtlinien dieses Recht vergeben, vielleicht ist das ja in dem Buch gemeint.

Gruss
Randy
Mitglied: datasearch
datasearch 24.06.2007 um 10:43:46 Uhr
Goto Top
Absolut richtig. Jeder User, der sich am AD authentifizieren kann, darf bis zu 10 Computer in die Domäne aufnehmen. Du kannst das Verhindern, indem du das qouta in dr Domänenkonfiguration änderst.

Das geht wie folgt:

  1. Installiere die Windows Support Tools (findest du auf der Windows-CD)
  2. starte adsiedit.msc (cmd: c:\programme\support tools\adsiedit.msc)
  3. Klicke auf den Zweig Computer auf der linken Seite
  4. klicke auf der Rechten seite auf den Zweig DC=Domäne,DC=Com mit der rechten Maustaste und wähle Eigenschaften
  5. Suche das Attribut ms-DS-MachineAccountQuota und wähle Edit
  6. ändere den Wert (standartmäßig 10) auf 0 (oder je nach dem wie viele Computerobjekte deine User anlegen dürfen, auch ein anderer Wert)
  7. Bestätige alles mit OK und beende ADSIEDIT.

nun sollte es nicht mehr möglich sein, das Authentifizierte Benutzer computerobjekte im AD erstellen können. Sicherheitshalber musst du noch überprüfen das die Gruppe "Authentifizierte Benutzer" oder "Domänen-Benutzer" im Comtainer nicht über das Recht "Objekte erstellen" verfügt.

In manchen Büchern steht das tatsächlich das man Computerobjekte vorher anlegen soll, das hindert den User aber nicht seinen Privatlaptop an die Domäne zu hängen. Absoluter quatsch. Das einzige was etwas bringen würde, auf den Container "Computers" die Berechtigung zum anlegen vom Objekten zu verweigern. Auch kann man den standart-Pfad in dem Objekte angelegt werden in eine andere OU legen, ist aber alles nur eine bekämpfung der auswirkungen. Das quota auf 0 setzen und alles ist erledigt. Istgenau wie der spruch in manchen Büchern, man solle doch bitte die User per script anlegen um den angezeigten Namen auf "nachname Vorname" zu ändern. Ein kleiner eingriff im Schema, und das Problem ist Forrestweit behoben. So ein quatsch.

Was ist das für ein Buch?
Mitglied: Randyman
Randyman 24.06.2007 um 22:01:56 Uhr
Goto Top
Hi,

jetzt bin ich echt fertig ... das hab ich nicht gewußt ... soll ich vielleicht doch mehr Bücher lesen?!? (RTFM) face-smile

hier der MS-Artikel dazu.

http://support.microsoft.com/kb/243327/en-us

Gruss
Randy
Mitglied: datasearch
datasearch 25.06.2007 um 21:09:31 Uhr
Goto Top
cool, den KB Artikel kannte ich auch noch nicht.
Mitglied: TobberT
TobberT 27.06.2007 um 21:51:44 Uhr
Goto Top
Sorry Leutz,
bin etwas spät dran

Verwalten und Warten einer Microsoft Windows 2003-Umgebeung

von Dan Holme und Orin Thomas

Microsoft Certified
Professional
70-290
MCSE / MCSA

Probelm ist ja somit behoben :D

Dank Leutz
Mitglied: datasearch
datasearch 29.06.2007 um 00:47:04 Uhr
Goto Top
Das ist anders gemeint.

Die Systembenutzergruppe "Authentifizierte Benutzer" darf bis zu 10 Rechner in die Domäne aufnehmen. Das ist in dem 270er Buch nur angeschnitten, es soll dir praktisch nur sagen das jeder Domänen-Benutzer standartmäßig 10 Computer hinzufügen kann.
Weiter unten in der Lektion werden die Vorteile erwähnt, wenn man die Computerkonten vorher anlegt. Gemeint ist damit im groben, wenn man ein Computerkonto in der richtigen OU vorher anlegt, werden Gruppenrichtlinien usw. gleich bein hinzufügen der Arbeitsstation in die Domäne angewendet werden. Um sicherzustellen, das nur bestimmte Admins/User Computer in diese OU aufnehmen können, steht in dem Buch man solle die Sicherheitseinstellungen für die OU oder das Konto ändern.

Ist ja soweit alles richtig, der User kann aber seinen Computer trotzdem noch in die Domäne aufnehmen. Er kann eben nur nicht das vorgegebene Computerkonto verwenden. Das hat den Vorteil, wenn auf der OU in der man das Computerkonto erstellt hat, kritische Einstellungen gesetzt sind, der User nicht ohne weiteres diese GPO´s auf seinen Computer anwenden kann. Es währe ja extrem ungünstig wenn ind er OU berechtigungen für zb. IPSec konfiguriert sind oder nur Computer innerhalb dieser OU gegenseitig zugreifen können (weil zb. das Computerkonto member einer Sicherheitsgruppe ist, die unter "Netzwerkzugriff auf diesen Computer erlauben" eingetragen ist) können. In dem Kapitel geht es um Gruppenrichtlinien usw., nicht aber um die Sicherheit einer AD-Struktur. Erst In der 70-294, 70-298 und 70-299 werden solche Themen etwas genauer behandelt. Genauer, wenn du die 290 schaffst, kannst du deinen Server verwalten, hast das Basiswissen zum anlegen von Gruppen, Konten usw. und kommst mit grundlegender Authorisierung zurecht. Wenn du diesen Bereich vertiefen möchtest, empfehle ich die das MSPress Buch zur 70-299 und das Nicole Laue Buch (Windows Server 2003 Security Trainer).


Kleiner Einwurf: Kann mir nun endlich mal jemand ein Buch für die 70-350 empfehlen? Es scheint ja nur die tech. Doku und den Nicole Laue Trainer zu geben. Da ich selbst niemals den ISA einsetzen würde, die Prüfung aber für den MCSE:Security erforderlich ist brauche ich eben ein Buch das das Thema ISA vollständig behandelt. Mit fehlen noch 3 Prüfungen(293, 294, 350), und eine ist eben die verflixte 350. Ich kenne leider niemanden der diese Prüfung abgelegt hat, desshalb brauche ich Info´s zu guten Büchern über ISA.

grüße.