Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Domänen Benutzer verbieten Clients in die Domäne zu holen

Mitglied: Vile-Gangster

Vile-Gangster (Level 1) - Jetzt verbinden

20.07.2012 um 09:53 Uhr, 4332 Aufrufe, 12 Kommentare

Hallo

Ich habe hier ein Problem bei dem ich nicht weiterkomme.

W2k8 R2 Domäne mit XP (werden gerade ausgerottet) und Win7 x64 Clients.

Es ist ja standardmäßig so dass jeder Domänen Benutzer bis zu 10 Clients in die Domäne aufnehmen darf.
Gefällt uns nicht, und deswegen dachte ich mir das ändere ich mal fix ab, soweit die Theorie...

Also habe ich eine GPO definiert und nur die Domänen Admins als berechtigt eingefügt und dachte mir
das wird schon reichen, das ist wohl nicht so.

Der nächste Ansatz war mit dem Tool "ADSI Edit" den Wert "ms-DS-MachineAccountQuota" von 10 auf
"not set" geändert, laut Google wäre das die einfachste Methode noch vor irgendwelchen GPO Spielereien.

Das hat aber leider auch noch nicht gefruchtet, ich kann nach wie vor mit einem ganz normalen Domänen
Benutzer Clients in die Domäne holen und wieder rausschmeißen.

Wo liegt mein Fehler, kann mir da bitte jemand weiterhelfen? Ich sehe den Fehler irgendwie nicht.

Danke Euch

Gruß
Vile-Gangster
Mitglied: bioperiodik
20.07.2012 um 09:58 Uhr
Hallo,

Also ich weiß ja nicht, aber in meiner Welt kann nur ein Domänenadmin Änderungen durchführen, die die Domäne betreffen. Also Computer hinzufügen, Benutzer anlegen etc.

Leb ich etwa in einer Traumwelt?
Bitte warten ..
Mitglied: DerWoWusste
20.07.2012, aktualisiert um 10:05 Uhr
@bioperiodik: Ja, muss wohl eine Traumwelt sein. Domänenadmins dürfen als einzige Rechnerobjekte löschen (=überschreiben oder löschen), neu erstellen darf das jeder 10x und das ist in jeder NT-Domäne so.

@Vile-Gangster: Gib doch genauer an, welche Richtlinie Du definiert hast und prüf dann bitte auch mit rsop.msc, ob sie auch bereits angewendet wird.
Bitte warten ..
Mitglied: Vile-Gangster
20.07.2012 um 10:18 Uhr
@bioperiodik
Hab es leider nur in Englisch aus der Beschreibung der GPO:
"By default, any authenticated user has this right and can create up to 10 computer accounts in the domain."

@DerWoWusste
Folgende GPO habe ich definiert:

- Computer Configuration
- Policies
- Windows Settings
- Security Settings
- Local Policies
- User Rights Assignment
- Add workstations to domain (diese ist defniert mit "Domain Admins")

Diese GPO ist direkt wie die "Default Domain Policy" mit der Domäne verknüpft, also auf gleich erEbene und nicht
erst in irgnedwelchen OUs.

War halt in der Hoffnung dass damit alle anderen "normalen" Benutzer aussen vor sind.

Gruß
Vile-Gangster
Bitte warten ..
Mitglied: DerWoWusste
20.07.2012, aktualisiert um 10:26 Uhr
Und, wird diese GPO angewendet? ->rsop.msc am Client ausführen!
Bitte warten ..
Mitglied: DerWoWusste
20.07.2012, aktualisiert um 10:47 Uhr
Lies bitte mal hier, das dürfte Dein Fehler sein:
Link (aktualisiert)
-> This security setting is valid only on domain controllers!
Also: An allen DCs gpupdate /force ausführen und erneut probieren.
Bitte warten ..
Mitglied: 48507
20.07.2012, aktualisiert um 10:32 Uhr
Am Client? Zu dem Zeitpunkt ist der Computer doch noch gar nicht in der Domäne? Muss dies nicht eher in der Benutzer-Konfig eingestellt werden? Weil der Benutzer den Rechner hinzufügen tut?

*edit*

*This security setting is valid only on domain controllers* macht doch eher Sinn
Bitte warten ..
Mitglied: Vile-Gangster
20.07.2012 um 10:38 Uhr
Naja, wie spytnik schon sagte, der PC ist ja noch gar nicht in der Domäne, kann also die GPO doch gar nicht haben?
Oder aber ich kapier nicht was Du meinst ^^

Bei dem von Dir verlinktem bekomme ich folgende Meldung:
"We're sorry, but the page you requested could not be found. Please check your typing and try again, or use the search
option on this page. "

gpupdate /force ist auf allen DCs durchgeführt (gestern schon), aber nach wie vor kann der blöde Benutzer Clients
in die Domöne holen. Ich werd hier noch narrisch kann ich Euch sagen.
Benutzerrechte sind aber auch kontrolliert, er ist lediglich Domänen Benutzer ohne Sonderrechte.

Gruß
Vile-Gangster
Bitte warten ..
Mitglied: DerWoWusste
20.07.2012 um 10:48 Uhr
Moin. Hab den Link aktualisiert.
Zum 3. Mal: sagt rsop.msc, dass die Einstellung auch greift am DC?
Bitte warten ..
Mitglied: Vile-Gangster
20.07.2012 um 11:08 Uhr
@DerWoWusste
Zu meiner Verteidigung...jetzt gehen die Ausreden los ^^

Ich bin ja mitlerweiel so vernagelt keine "Default Domain Policy" anzufassen sondern immer schön brav eine neue GPO
zu kreieren um eine saubere Nachverfolgung zu haben.
Demzufolge habe ich die "Default Domain Controllers Policy" total übersehen in der halt die "Authenticated User"
die Berechtigung haben Clients in die Domöne zu heben.

Da kannste noch so viele GPOs definieren oder mit ADSI Edit Werte ändern, es bringt wohl nix.

Das Licht ging mir auf als ich das in dem von Dir verlinktem Artikel gelesen hatte.

Vielen Dank an dieser Stelle.

Ich Nappel hab selbst in "gpresult" übersehen dass die von mir angesetzte GPO nicht angewand wurde, da hilft dann doch
der 3. Schubser da mal nachzuschauen.

Jetzt funktioniert es wie gewollt, der Benutzer bekommt brav eine Fehlermeldung.

Manchmal stolpert man halt über die einfachsten Dinge weil man sie nicht sieht...

Vielen Dank

Gruß
Vile-Gangster
Bitte warten ..
Mitglied: Vile-Gangster
20.07.2012 um 11:15 Uhr
Grml, aber aus der Domäne kann der Benutzer ihn noch rausnehmen.

Die Einstellung werd ich aber hoffentlich im Alleingang finden...^^

Gruß
Vile-Gangster
Bitte warten ..
Mitglied: bioperiodik
20.07.2012 um 11:17 Uhr
Zitat von DerWoWusste:
@bioperiodik: Ja, muss wohl eine Traumwelt sein. Domänenadmins dürfen als einzige Rechnerobjekte löschen
(=überschreiben oder löschen), neu erstellen darf das jeder 10x und das ist in jeder NT-Domäne so.


Ha, verrückt!

Dann war das wohl bisher schon deaktiviert Gut so!
Und wieder was gelernt!
Bitte warten ..
Mitglied: Pjordorf
20.07.2012 um 11:17 Uhr
Hallo,

Zitat von Vile-Gangster:
Grml, aber aus der Domäne kann der Benutzer ihn noch rausnehmen.
Hat der Benutzer lokale Administartive Rechte?

Gruß,
Peter
Bitte warten ..
Ähnliche Inhalte
DNS

Namensauflösung in Domäne und Client nicht in der Domäne

Frage von gluckspilzzDNS5 Kommentare

Sehr geehrtes Administrator Team, ich habe folgendes Problem. Meine Firma hat ein kleines Netzwerk (20 Clients) mit Domäne, DHCP ...

Windows Systemdateien

Benutzer aus der Domäne, Profil wiederherstellen

Frage von Str0mb3rgWindows Systemdateien8 Kommentare

Moin Leute, ja, ich habe *facepalm* ausversehen einen Benutzer gelöscht. Warum, tut nichts zur Sache. Leider haben wir nur ...

Windows Userverwaltung

Softwareinstallation als Domänen Benutzer

gelöst Frage von manuelwWindows Userverwaltung4 Kommentare

Hallo! Ist es möglich einem Active Directory Benutzer die Benutzerrechte so zu geben, damit dieser auch Software installieren darf ...

Exchange Server

Kalenderberechtigung aller Benutzer in einer Domäne zurücksetzen

gelöst Frage von Type02Exchange Server3 Kommentare

Hallo Kollegen, benötige Eure Hilfe! Mitarbeiter im Unternehmen haben Kalenderfreigaben untereinander eigenverantwortlich verwaltet. Nun ist die Mitarbeiterzahl stark gestiegen ...

Neue Wissensbeiträge
Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 9 StundenHumor (lol)2 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 22 StundenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 22 StundenSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Microsoft
ARD-Doku - Das Microsoft Dilemma
Tipp von Knorkator vor 1 TagMicrosoft3 Kommentare

Hallo zusammen, vor einigen Tagen lief in der ARD u.a. Reportage. Das Youtube Video dazu dürfte länger verfügbar sein. ...

Heiß diskutierte Inhalte
Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server45 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Router & Routing
ISC DHCP 2 Subnetze
gelöst Frage von janosch12Router & Routing19 Kommentare

Hallo, ich betreibe bei mir im Netzwerk einen ISC DHCP Server auf Debian, der DHCP verwaltet aktuell ein /24 ...

Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware16 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...