10
Computerkonto im ActiveDirectory ohne Domänenadmin??
Hallo,
Wir haben in der Firma einen etwas seltsamen Fall:
Ein Surface 2 pro, was nicht Teil der Domäne war, als wir es an den Mitarbeiter ausgegeben haben, hat plötzlich ein Computerkonto in der Domäne (direkt im Stamm unter "Computer").
Von Seiten der IT wurde es nicht zur Domäne hinzugefügt.
Der Mitarbeiter hat es laut eigener Aussage lediglich ans interne Netzwerk angeschlossen (per LAN-Adapter, DHCP vom DC) und sich mit seinen Domänenbenutzerdaten (auf dem Surface hat er eigene abweichende) an einer Freigabe innerhalb der Domäne angemeldet um Daten zu kopieren, was auch funktioniert hat.
Weitere Infos:
Domäne stammt aus Winows 2000 Zeiten, ist aber hochgestuft von 2000 auf 2008R2
Alle Domaincontroller sind 2008R2
Auf dem Surface läuft das mitgelieferte Windows (8.1 x64) mit aktuellem Patchstand
Der Mitarbeiter hat mit seinem Domänenaccount gegenüber der Domäne nur die Standardbenutzerrechte
Kann mir jemand erklären, wie das Computerkonto zustande kommt?
Wir haben auch andere Geräte (WindowsXP/7) die nicht Teil der Domäne sind, aber gelegentlich per Eingabe von Domänennutzerdaten auf Freigaben zugreifen aber dabei entsteht kein Computerkonto.
Und auch wenn der Mitarbeiter entgegen seiner Aussage versucht hat, das Surface zur Domäne hinzuzufügen, so dürfte ihm das ohne Domänenadmindaten doch gar nicht gelingen.
Vielen Dank schon mal.
Wir haben in der Firma einen etwas seltsamen Fall:
Ein Surface 2 pro, was nicht Teil der Domäne war, als wir es an den Mitarbeiter ausgegeben haben, hat plötzlich ein Computerkonto in der Domäne (direkt im Stamm unter "Computer").
Von Seiten der IT wurde es nicht zur Domäne hinzugefügt.
Der Mitarbeiter hat es laut eigener Aussage lediglich ans interne Netzwerk angeschlossen (per LAN-Adapter, DHCP vom DC) und sich mit seinen Domänenbenutzerdaten (auf dem Surface hat er eigene abweichende) an einer Freigabe innerhalb der Domäne angemeldet um Daten zu kopieren, was auch funktioniert hat.
Weitere Infos:
Domäne stammt aus Winows 2000 Zeiten, ist aber hochgestuft von 2000 auf 2008R2
Alle Domaincontroller sind 2008R2
Auf dem Surface läuft das mitgelieferte Windows (8.1 x64) mit aktuellem Patchstand
Der Mitarbeiter hat mit seinem Domänenaccount gegenüber der Domäne nur die Standardbenutzerrechte
Kann mir jemand erklären, wie das Computerkonto zustande kommt?
Wir haben auch andere Geräte (WindowsXP/7) die nicht Teil der Domäne sind, aber gelegentlich per Eingabe von Domänennutzerdaten auf Freigaben zugreifen aber dabei entsteht kein Computerkonto.
Und auch wenn der Mitarbeiter entgegen seiner Aussage versucht hat, das Surface zur Domäne hinzuzufügen, so dürfte ihm das ohne Domänenadmindaten doch gar nicht gelingen.
Vielen Dank schon mal.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263617
Url: https://administrator.de/contentid/263617
Printed on: April 16, 2024 at 15:04 o'clock
10 Comments
Latest comment
Hallo,
Ist das Gerät auch in der Domäne? Kann man sich mit einen Domänenbenutzer dort anmelden?
Wenn ja:Domänenbenutzer haben per Default Policy das Recht 10 Computerkonten in die Domäne aufzunehmen.
gruß Sven
Ist das Gerät auch in der Domäne? Kann man sich mit einen Domänenbenutzer dort anmelden?
Wenn ja:Domänenbenutzer haben per Default Policy das Recht 10 Computerkonten in die Domäne aufzunehmen.
gruß Sven
Moin Moin,
Dies funktioniert allerdings nicht beliebig oft.
Siehe: http://www.mcseboard.de/topic/168993-domain-join-rechte/
Gruß L.
Zitat von @dduchardt:
Und auch wenn der Mitarbeiter entgegen seiner Aussage versucht hat, das Surface zur Domäne hinzuzufügen, so dürfte
ihm das ohne Domänenadmindaten doch gar nicht gelingen.
Das ist Falsch. Im MS Standard ist es so das "einfache" Domänen Benutzer einen Domänen Join vollziehen können (lokale Adminrechte auf dem Client vorrausgesetzt).Und auch wenn der Mitarbeiter entgegen seiner Aussage versucht hat, das Surface zur Domäne hinzuzufügen, so dürfte
ihm das ohne Domänenadmindaten doch gar nicht gelingen.
Dies funktioniert allerdings nicht beliebig oft.
Siehe: http://www.mcseboard.de/topic/168993-domain-join-rechte/
Gruß L.
Also er ist lokaler Admin auf dem Surface.
Wird der "Domain-Join" bei Windows 8.1 in irgendeiner Weise automatisch ausgeführt oder muss er dazu in den entsprechenden Dialog gegangen sein?
Und wie kann ich einstellen, dass nur Domänenadmins Computer hinzufügen können? <- erledigt (http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/)
Diese Funktion kannte ich nämlich so noch gar nicht.
Wird der "Domain-Join" bei Windows 8.1 in irgendeiner Weise automatisch ausgeführt oder muss er dazu in den entsprechenden Dialog gegangen sein?
Und wie kann ich einstellen, dass nur Domänenadmins Computer hinzufügen können? <- erledigt (http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/)
Diese Funktion kannte ich nämlich so noch gar nicht.
Moin moin,
Gruß L.
Zitat von @dduchardt:
Also er ist lokaler Admin auf dem Surface.
Wird der "Domain-Join" bei Windows 8.1 in irgendeiner Weise automatisch ausgeführt oder muss er dazu in den
entsprechenden Dialog gegangen sein?
Automatisch? Kaum, da ja mind. eine Dom. Kennung eingegeben werden muss.Also er ist lokaler Admin auf dem Surface.
Wird der "Domain-Join" bei Windows 8.1 in irgendeiner Weise automatisch ausgeführt oder muss er dazu in den
entsprechenden Dialog gegangen sein?
Und wie kann ich einstellen, dass nur Domänenadmins Computer hinzufügen können? <- erledigt
(http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/)
Diese Funktion kannte ich nämlich so noch gar nicht.
Ich bin damals auch fast vom Stuhl gefallen ...(http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/)
Diese Funktion kannte ich nämlich so noch gar nicht.
Gruß L.
Zitat von @Logan000:
Moin moin,
> Zitat von @dduchardt:
> Also er ist lokaler Admin auf dem Surface.
> Wird der "Domain-Join" bei Windows 8.1 in irgendeiner Weise automatisch ausgeführt oder muss er dazu in den
> entsprechenden Dialog gegangen sein?
Automatisch? Kaum, da ja mind. eine Dom. Kennung eingegeben werden muss.
Moin moin,
> Zitat von @dduchardt:
> Also er ist lokaler Admin auf dem Surface.
> Wird der "Domain-Join" bei Windows 8.1 in irgendeiner Weise automatisch ausgeführt oder muss er dazu in den
> entsprechenden Dialog gegangen sein?
Automatisch? Kaum, da ja mind. eine Dom. Kennung eingegeben werden muss.
Naja ich dachte halt in Form eines tollen automatischen Dialogs sobald er das Netzwerk erkennt und das es eine Domäne ist.
Frei nach dem Motto "Um auf das Netzwerk zugreifen zu können, geben sie ihre Domänenbenutzerdaten ein" oder sowas in der Art.
Aber ich schätze mal der Mitarbeiter hat es wohl einfach probiert über den Dialog.
Hi.
sobald er das Netzwerk erkennt und das es eine Domäne ist
"Das Netzwerk" gibt es nicht. Wenn Du in Deinem Subnetz einen DC hast, merkt Dein PC (noch nicht der Domäne hinzugefügt) davon zunächst einmal rein gar nichts.Zitat von @DerWoWusste:
Hi.
> sobald er das Netzwerk erkennt und das es eine Domäne ist
"Das Netzwerk" gibt es nicht. Wenn Du in Deinem Subnetz einen DC hast, merkt Dein PC (noch nicht der Domäne
hinzugefügt) davon zunächst einmal rein gar nichts.
Hi.
> sobald er das Netzwerk erkennt und das es eine Domäne ist
"Das Netzwerk" gibt es nicht. Wenn Du in Deinem Subnetz einen DC hast, merkt Dein PC (noch nicht der Domäne
hinzugefügt) davon zunächst einmal rein gar nichts.
"Das Netzwerk" ... echt jetzt? Du reitest auf der Verallgemeinerung rum? Na wenn du meinst.
Um dann eben auch noch klarzustellen, worauf sich das bezog: Unter Windows 7 erkennt er beim Verbinden mit einem Netzwerk und bei der Zuweisung der Netzwerkadressen durch DHCP (wenn Domänen-DNS-Server) bereits den DNS-"Bereich", also Namenskontext und zeigt diesen z.B. an, wenn der Firewalldialog aufploppt, in dem man die "Vertrauensstellung" festlegt. Nachher zudem auch, wenn man auf das Netzwerksymbol klickt.
Es dürfte ohne weiteres möglich sein, den DNS-Server nach DC-Einträgen abzufragen.
Allerdings sind das die ersten Erfahrungen mit Windows 8.1 in der Domäne und da MS ja alles mit irgendwelchen automatischen Assistenten versieht und ich es bislang nicht getestet habe, hätte ich mir auch solch einen "Assistenten" vorstellen können.
Und verzeih bitte, falls die Begrifflichkeiten nicht ganz richtig sind.
Hi.
, ich will nur klar machen, wie es funktioniert. Ein Nicht-Domänenmitglied, welches eine feste IP zugewiesen bekommt und den DNS-Servereintrag auf den DC gesetzt bekommt erkennt den DC nicht als solchen, die Domäne nicht, gar nichts. Ich denke nicht, dass es bei DHCP anders ist, habe hier jedoch keinen DHCP zum Test. Somit ist der Gegenstand "das Netzwerk" nicht greifbar, nicht vorhanden. Viele hier schreiben "...haben hier Win7 Clients, angeschlossen an eine win2008R2-Domäne" - das liest sich schön, aber verleitet fälschlicherweise dazu, dass man glaubt, die Domäne wäre etwas, was Rechner "sehen" können oder erkennen können - dem ist nicht so.
"Das Netzwerk" ... echt jetzt? Du reitest auf der Verallgemeinerung rum? Na wenn du meinst.
Versteh mich nicht falsch , ich will nur klar machen, wie es funktioniert. Ein Nicht-Domänenmitglied, welches eine feste IP zugewiesen bekommt und den DNS-Servereintrag auf den DC gesetzt bekommt erkennt den DC nicht als solchen, die Domäne nicht, gar nichts. Ich denke nicht, dass es bei DHCP anders ist, habe hier jedoch keinen DHCP zum Test. Somit ist der Gegenstand "das Netzwerk" nicht greifbar, nicht vorhanden. Viele hier schreiben "...haben hier Win7 Clients, angeschlossen an eine win2008R2-Domäne" - das liest sich schön, aber verleitet fälschlicherweise dazu, dass man glaubt, die Domäne wäre etwas, was Rechner "sehen" können oder erkennen können - dem ist nicht so.Zitat von @DerWoWusste:
Hi.
> "Das Netzwerk" ... echt jetzt? Du reitest auf der Verallgemeinerung rum? Na wenn du meinst.
Versteh mich nicht falsch, ich will nur klar machen, wie es funktioniert. Ein Nicht-Domänenmitglied, welches eine feste
IP zugewiesen bekommt und den DNS-Servereintrag auf den DC gesetzt bekommt erkennt den DC nicht als solchen, die Domäne
nicht, gar nichts. Ich denke nicht, dass es bei DHCP anders ist, habe hier jedoch keinen DHCP zum Test. Somit ist der Gegenstand
"das Netzwerk" nicht greifbar, nicht vorhanden. Viele hier schreiben "...haben hier Win7 Clients, angeschlossen an
eine win2008R2-Domäne" - das liest sich schön, aber verleitet fälschlicherweise dazu, dass man glaubt, die
Domäne wäre etwas, was Rechner "sehen" können oder erkennen können - dem ist nicht so.
Hi.
> "Das Netzwerk" ... echt jetzt? Du reitest auf der Verallgemeinerung rum? Na wenn du meinst.
Versteh mich nicht falsch
, ich will nur klar machen, wie es funktioniert. Ein Nicht-Domänenmitglied, welches eine festeIP zugewiesen bekommt und den DNS-Servereintrag auf den DC gesetzt bekommt erkennt den DC nicht als solchen, die Domäne
nicht, gar nichts. Ich denke nicht, dass es bei DHCP anders ist, habe hier jedoch keinen DHCP zum Test. Somit ist der Gegenstand
"das Netzwerk" nicht greifbar, nicht vorhanden. Viele hier schreiben "...haben hier Win7 Clients, angeschlossen an
eine win2008R2-Domäne" - das liest sich schön, aber verleitet fälschlicherweise dazu, dass man glaubt, die
Domäne wäre etwas, was Rechner "sehen" können oder erkennen können - dem ist nicht so.
Dann wäre das ja geklärt.
Das Video hat was.
