Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einer Gruppe das Anmelden von Rechnern in eine AD erlauben

Frage Microsoft Windows Server

Mitglied: 105215

105215 (Level 1)

10.05.2012 um 08:02 Uhr, 2289 Aufrufe, 6 Kommentare

Bei uns im Unternehmen gibt es eine kleine Gruppe von PC-Betreuern welche für Mitarbeiter neue Rechner aufsetzt. Diese müssen später in unsere Win2k8 R2 AD aufgenommen werden.

Hallo zusammen,

ich hab mal wieder eine Frage wo Ihr mir sicherlich helfen könnt.

Ich möchte nicht das jeder PC-Betreuer Domänen-Adminrechte hat um beliebig viele Rechner in die oben genannte AD aufnehmen zu können. Ich habe alle PC-Betreuer in einer globalen Sicherheitsgruppe zusammengefasst G_AD und habe dann auf dem DC in den Default Domain Policy in Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten die Richtlinie Hinzufügen von Arbeitsstationen zur Domäne definiert. Und zwar habe ich dort die G_AD und die Domänen-Admins eingetragen. Also nur diese beiden Gruppen sollen Rechner in die AD aufnehmen können. Ich hoffe das ist soweit richtig.

Am Client sind die PC-Betreuer bis zu dem Punkt anmelden an der AD mit einem lokalen Admin aktiv.

Was für Voraussetzungen müssen noch gegeben werden damit die PC-Betreuer mehr als 10 Rechner in die Domäne aufnehmen können aber keine Domänen-Adminrechte haben? Und wie kann ich das deaktivieren das jeder User 10 Rechner in die AD aufnehmen kann?

Ich hoffe Ihr könnt mir hier an der Stelle helfen.

Vielen Dank und Gruß
Karsten
Mitglied: MaceWindu
10.05.2012 um 09:25 Uhr
Hallo,

Guckst du hier: http://support.microsoft.com/kb/251335/EN-US
Besonders Methode 3 dürfte interessant sein.
Bitte warten ..
Mitglied: 105215
10.05.2012 um 12:57 Uhr
Hi MaceWindu,

das ist schon einmal nicht schlecht. Ich habe die Methode 3 in meiner Test AD-Umgebung eingerichtet.

Wenn ich den Wert auf 0 setze können nur noch Domänen-Admins Rechner hinzufügen alle anderen bekommen "Anzahl überschritten". Wie bekomme ich nun noch die PC-Betreuer dazu das diese es können ohne Domänen-Adminrechte zu haben. Die GPO welche ich oben erwähnt habe schein nichts zu nützen denn die PC-Betreuer bekommen die gleiche Meldung wie die Domänen-Benutzer auch obwohl diese es eigentlich dürfen sollten.

Mache ich was falsch?

Gruß
Karsten
Bitte warten ..
Mitglied: MaceWindu
10.05.2012 um 15:12 Uhr
Hmm, jetzt erst gesehen: Laut Beschreibung für Win2000/NT-Server... Kann sein das es darum nicht geht, leider keine Erfahrungswerte mit dieser Funktion.
ABER, da steht auch "6.In the Edit Attribute box, type a number. This number represents the number of workstations that you want users to be able to maintain concurrently."
Warum dann den Wert "0"?
Bitte warten ..
Mitglied: 105215
10.05.2012 um 15:36 Uhr
Hi MaceWindu,

ich habe den Wert von 10 auf 0 gestellt. Das stimmt schon was da steht dann können nur die zugreifen welche ein entsprechendes Recht haben und die Domänen-Admins.
Alle anderen bekommen Zugriff verweigert was auch OK ist. Nur die Gruppe suche ich noch welche das Recht zusätzlich hat.

Ich teste mal was bei Konten-Operator passiert wenn ich dort die Gruppe G_AD aufnehme.

Welchen Wert würdest du denn nehmen?

Gruß
Karsten
Bitte warten ..
Mitglied: MaceWindu
10.05.2012 um 21:09 Uhr
Na halt einen Wert über 10^^
So wie ich die Beschreibung verstehe darf der Wert "0" kein Objekt in die Domäne aufnehmen. Und 10 ist der unkonfigurierte Standardwert....
Bitte warten ..
Mitglied: 105215
16.05.2012 um 09:39 Uhr
Richtig, 0 bedeutet das niemand ausser denen ich es erlaube Rechner in die Domäne aufnehmen können. Ich kann aber nicht jedem erlauben XXX beliebig viele Rechner in die AD aufnehmen zu können.

Ich habe nun wie oben beschriebene Gruppe in der Gruppe Kontenoperatoren hinzugefügt und seither können nur PC-Betreuer und Domänen-Admins Rechner in die Domäne aufnehmen, alle anderen nicht. So schaut es für mich gut aus.

Gruß
Karsten
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Windows Userverwaltung
AD Gruppe der Domänen-Admins überwachen (5)

Frage von ThorstenRay zum Thema Windows Userverwaltung ...

Batch & Shell
gelöst User und AD Gruppe finden - wie das Pferd aufzäumen (5)

Frage von H41mSh1C0R zum Thema Batch & Shell ...

Windows Server
gelöst AD-User einer AD-Gruppe auslesen und in ein File schreiben (15)

Frage von Estefania zum Thema Windows Server ...

Windows 7
AD-Benutzer einer Lokalen Gruppe hinzufügen(16Bit OU) (3)

Frage von WIZARDBOY zum Thema Windows 7 ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...