Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

10 Computer in Domain einbinden durch Authentifizierte Benutzer

Frage Microsoft Windows Netzwerk

Mitglied: TobberT

TobberT (Level 1) - Jetzt verbinden

22.06.2007, aktualisiert 29.06.2007, 16243 Aufrufe, 7 Kommentare

Hallo Leutz,

in nem Buch hab ich folgendes gelesen: "Dass ein Authentifizierte Benutzer (Jeder)
nur 10 Computer der Domäne hinzufügen kann"


Möglichkeit 1:
Wie soll man das verstehen? - Jeder Benutzer hat also das Recht,
wenn er lokale AdminRechte besitzt, einen PC in die Domäne aufzunehmen?
Dieser PC wird dann der Gruppe "Computers" im AD hinzugefügt?


Mögichkeit 2: Um das zu verhindern
Man nimmt den PC (mit den richtigen PC Namen vorher in die Domäne auf (sprich
einen neuen PC im AD anlegen (wozu man mind. Konten Rechte braucht)
und vergibt dann die z.B. die Rechte, das nur Domain-Admins diesen PC in die Domain hinzufügen dürfen / können?


Mit freundlichen Grüßen
Mitglied: Sylvio
22.06.2007 um 11:09 Uhr
Hi,

Was für ein Buch ist das???
habe noch nie gehörrt das ein "Domain User/Benutzer" Rechner in die Domäne fahren darf.
Dafür wird schon mehr wie "nur" Domain_Benutzer rechte verlangt.
Sylvio
Bitte warten ..
Mitglied: Randyman
23.06.2007 um 14:06 Uhr
Hi,

standardmäßig kann kein nomaler Benutzer einen Rechner ins AD hängen, auch nicht als lokaler Admin.
Man kann jedoch über die Sicherheitsrichtlinien dieses Recht vergeben, vielleicht ist das ja in dem Buch gemeint.

Gruss
Randy
Bitte warten ..
Mitglied: datasearch
24.06.2007 um 10:43 Uhr
Absolut richtig. Jeder User, der sich am AD authentifizieren kann, darf bis zu 10 Computer in die Domäne aufnehmen. Du kannst das Verhindern, indem du das qouta in dr Domänenkonfiguration änderst.

Das geht wie folgt:

  1. Installiere die Windows Support Tools (findest du auf der Windows-CD)
  2. starte adsiedit.msc (cmd: c:\programme\support tools\adsiedit.msc)
  3. Klicke auf den Zweig Computer auf der linken Seite
  4. klicke auf der Rechten seite auf den Zweig DC=Domäne,DC=Com mit der rechten Maustaste und wähle Eigenschaften
  5. Suche das Attribut ms-DS-MachineAccountQuota und wähle Edit
  6. ändere den Wert (standartmäßig 10) auf 0 (oder je nach dem wie viele Computerobjekte deine User anlegen dürfen, auch ein anderer Wert)
  7. Bestätige alles mit OK und beende ADSIEDIT.

nun sollte es nicht mehr möglich sein, das Authentifizierte Benutzer computerobjekte im AD erstellen können. Sicherheitshalber musst du noch überprüfen das die Gruppe "Authentifizierte Benutzer" oder "Domänen-Benutzer" im Comtainer nicht über das Recht "Objekte erstellen" verfügt.

In manchen Büchern steht das tatsächlich das man Computerobjekte vorher anlegen soll, das hindert den User aber nicht seinen Privatlaptop an die Domäne zu hängen. Absoluter quatsch. Das einzige was etwas bringen würde, auf den Container "Computers" die Berechtigung zum anlegen vom Objekten zu verweigern. Auch kann man den standart-Pfad in dem Objekte angelegt werden in eine andere OU legen, ist aber alles nur eine bekämpfung der auswirkungen. Das quota auf 0 setzen und alles ist erledigt. Istgenau wie der spruch in manchen Büchern, man solle doch bitte die User per script anlegen um den angezeigten Namen auf "nachname Vorname" zu ändern. Ein kleiner eingriff im Schema, und das Problem ist Forrestweit behoben. So ein quatsch.

Was ist das für ein Buch?
Bitte warten ..
Mitglied: Randyman
24.06.2007 um 22:01 Uhr
Hi,

jetzt bin ich echt fertig ... das hab ich nicht gewußt ... soll ich vielleicht doch mehr Bücher lesen?!? (RTFM)

hier der MS-Artikel dazu.

http://support.microsoft.com/kb/243327/en-us

Gruss
Randy
Bitte warten ..
Mitglied: datasearch
25.06.2007 um 21:09 Uhr
cool, den KB Artikel kannte ich auch noch nicht.
Bitte warten ..
Mitglied: TobberT
27.06.2007 um 21:51 Uhr
Sorry Leutz,
bin etwas spät dran

Verwalten und Warten einer Microsoft Windows 2003-Umgebeung

von Dan Holme und Orin Thomas

Microsoft Certified
Professional
70-290
MCSE / MCSA

Probelm ist ja somit behoben :D

Dank Leutz
Bitte warten ..
Mitglied: datasearch
29.06.2007 um 00:47 Uhr
Das ist anders gemeint.

Die Systembenutzergruppe "Authentifizierte Benutzer" darf bis zu 10 Rechner in die Domäne aufnehmen. Das ist in dem 270er Buch nur angeschnitten, es soll dir praktisch nur sagen das jeder Domänen-Benutzer standartmäßig 10 Computer hinzufügen kann.
Weiter unten in der Lektion werden die Vorteile erwähnt, wenn man die Computerkonten vorher anlegt. Gemeint ist damit im groben, wenn man ein Computerkonto in der richtigen OU vorher anlegt, werden Gruppenrichtlinien usw. gleich bein hinzufügen der Arbeitsstation in die Domäne angewendet werden. Um sicherzustellen, das nur bestimmte Admins/User Computer in diese OU aufnehmen können, steht in dem Buch man solle die Sicherheitseinstellungen für die OU oder das Konto ändern.

Ist ja soweit alles richtig, der User kann aber seinen Computer trotzdem noch in die Domäne aufnehmen. Er kann eben nur nicht das vorgegebene Computerkonto verwenden. Das hat den Vorteil, wenn auf der OU in der man das Computerkonto erstellt hat, kritische Einstellungen gesetzt sind, der User nicht ohne weiteres diese GPO´s auf seinen Computer anwenden kann. Es währe ja extrem ungünstig wenn ind er OU berechtigungen für zb. IPSec konfiguriert sind oder nur Computer innerhalb dieser OU gegenseitig zugreifen können (weil zb. das Computerkonto member einer Sicherheitsgruppe ist, die unter "Netzwerkzugriff auf diesen Computer erlauben" eingetragen ist) können. In dem Kapitel geht es um Gruppenrichtlinien usw., nicht aber um die Sicherheit einer AD-Struktur. Erst In der 70-294, 70-298 und 70-299 werden solche Themen etwas genauer behandelt. Genauer, wenn du die 290 schaffst, kannst du deinen Server verwalten, hast das Basiswissen zum anlegen von Gruppen, Konten usw. und kommst mit grundlegender Authorisierung zurecht. Wenn du diesen Bereich vertiefen möchtest, empfehle ich die das MSPress Buch zur 70-299 und das Nicole Laue Buch (Windows Server 2003 Security Trainer).


Kleiner Einwurf: Kann mir nun endlich mal jemand ein Buch für die 70-350 empfehlen? Es scheint ja nur die tech. Doku und den Nicole Laue Trainer zu geben. Da ich selbst niemals den ISA einsetzen würde, die Prüfung aber für den MCSE:Security erforderlich ist brauche ich eben ein Buch das das Thema ISA vollständig behandelt. Mit fehlen noch 3 Prüfungen(293, 294, 350), und eine ist eben die verflixte 350. Ich kenne leider niemanden der diese Prüfung abgelegt hat, desshalb brauche ich Info´s zu guten Büchern über ISA.

grüße.
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Windows 10
OpenVPN Windows 10 als domain user (4)

Frage von lululala zum Thema Windows 10 ...

Windows 10
gelöst Clients (Win 10) synchronisieren Zeit nicht mit Domain Controller (4)

Frage von LeukoClassic zum Thema Windows 10 ...

Windows 10
gelöst Windows 10: Standardprofil für lokale und Domain-Konten erstellen

Frage von Wintektiv zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...