Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Einer Gruppe das Anmelden von Rechnern in eine AD erlauben

Frage Microsoft Windows Server

Mitglied: 105215

105215 (Level 1)

10.05.2012 um 08:02 Uhr, 2339 Aufrufe, 6 Kommentare

Bei uns im Unternehmen gibt es eine kleine Gruppe von PC-Betreuern welche für Mitarbeiter neue Rechner aufsetzt. Diese müssen später in unsere Win2k8 R2 AD aufgenommen werden.

Hallo zusammen,

ich hab mal wieder eine Frage wo Ihr mir sicherlich helfen könnt.

Ich möchte nicht das jeder PC-Betreuer Domänen-Adminrechte hat um beliebig viele Rechner in die oben genannte AD aufnehmen zu können. Ich habe alle PC-Betreuer in einer globalen Sicherheitsgruppe zusammengefasst G_AD und habe dann auf dem DC in den Default Domain Policy in Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten die Richtlinie Hinzufügen von Arbeitsstationen zur Domäne definiert. Und zwar habe ich dort die G_AD und die Domänen-Admins eingetragen. Also nur diese beiden Gruppen sollen Rechner in die AD aufnehmen können. Ich hoffe das ist soweit richtig.

Am Client sind die PC-Betreuer bis zu dem Punkt anmelden an der AD mit einem lokalen Admin aktiv.

Was für Voraussetzungen müssen noch gegeben werden damit die PC-Betreuer mehr als 10 Rechner in die Domäne aufnehmen können aber keine Domänen-Adminrechte haben? Und wie kann ich das deaktivieren das jeder User 10 Rechner in die AD aufnehmen kann?

Ich hoffe Ihr könnt mir hier an der Stelle helfen.

Vielen Dank und Gruß
Karsten
Mitglied: MaceWindu
10.05.2012 um 09:25 Uhr
Hallo,

Guckst du hier: http://support.microsoft.com/kb/251335/EN-US
Besonders Methode 3 dürfte interessant sein.
Bitte warten ..
Mitglied: 105215
10.05.2012 um 12:57 Uhr
Hi MaceWindu,

das ist schon einmal nicht schlecht. Ich habe die Methode 3 in meiner Test AD-Umgebung eingerichtet.

Wenn ich den Wert auf 0 setze können nur noch Domänen-Admins Rechner hinzufügen alle anderen bekommen "Anzahl überschritten". Wie bekomme ich nun noch die PC-Betreuer dazu das diese es können ohne Domänen-Adminrechte zu haben. Die GPO welche ich oben erwähnt habe schein nichts zu nützen denn die PC-Betreuer bekommen die gleiche Meldung wie die Domänen-Benutzer auch obwohl diese es eigentlich dürfen sollten.

Mache ich was falsch?

Gruß
Karsten
Bitte warten ..
Mitglied: MaceWindu
10.05.2012 um 15:12 Uhr
Hmm, jetzt erst gesehen: Laut Beschreibung für Win2000/NT-Server... Kann sein das es darum nicht geht, leider keine Erfahrungswerte mit dieser Funktion.
ABER, da steht auch "6.In the Edit Attribute box, type a number. This number represents the number of workstations that you want users to be able to maintain concurrently."
Warum dann den Wert "0"?
Bitte warten ..
Mitglied: 105215
10.05.2012 um 15:36 Uhr
Hi MaceWindu,

ich habe den Wert von 10 auf 0 gestellt. Das stimmt schon was da steht dann können nur die zugreifen welche ein entsprechendes Recht haben und die Domänen-Admins.
Alle anderen bekommen Zugriff verweigert was auch OK ist. Nur die Gruppe suche ich noch welche das Recht zusätzlich hat.

Ich teste mal was bei Konten-Operator passiert wenn ich dort die Gruppe G_AD aufnehme.

Welchen Wert würdest du denn nehmen?

Gruß
Karsten
Bitte warten ..
Mitglied: MaceWindu
10.05.2012 um 21:09 Uhr
Na halt einen Wert über 10^^
So wie ich die Beschreibung verstehe darf der Wert "0" kein Objekt in die Domäne aufnehmen. Und 10 ist der unkonfigurierte Standardwert....
Bitte warten ..
Mitglied: 105215
16.05.2012 um 09:39 Uhr
Richtig, 0 bedeutet das niemand ausser denen ich es erlaube Rechner in die Domäne aufnehmen können. Ich kann aber nicht jedem erlauben XXX beliebig viele Rechner in die AD aufnehmen zu können.

Ich habe nun wie oben beschriebene Gruppe in der Gruppe Kontenoperatoren hinzugefügt und seither können nur PC-Betreuer und Domänen-Admins Rechner in die Domäne aufnehmen, alle anderen nicht. So schaut es für mich gut aus.

Gruß
Karsten
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Benutzern das Anmelden nur an bestimmten Rechnern erlauben (per GPO)
Frage von Intrepid1980Windows Netzwerk1 Kommentar

Hallo zusammen, wir haben hier ca 400 Mitarbeiter mit ebenso vielen Clients verteilt auf diversen Projekten. Jeder Mitarbeiter hat ...

Windows Userverwaltung
AD Gruppen User auslesen
Frage von pgWindows Userverwaltung1 Kommentar

Guten Tag, ich bin auf der Suche nach einem Programm welches mit die User eines AD ausliest und mir ...

Windows Server
AD Gruppen werden nicht angepasst
gelöst Frage von theoberlinWindows Server5 Kommentare

Hallo zusammen, ich habe das Problem, dass Änderungen von Gruppen im AD erfolglos bleiben. Hatte das schonmal jemand? Wird ...

Windows Server
RTC- und CS-Gruppen im AD
Frage von InSpeeWindows Server2 Kommentare

Hallo, kann mir jemand sagen, für was das RTC und das CS im AD steht? Ich habe gefühlt das ...

Neue Wissensbeiträge
Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 53 MinutenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Sicherheit

Teamviewer Sessions können gekapert werden - Update tw. verfügbar

Information von sabines vor 4 TagenSicherheit6 Kommentare

In bestimmten Konstellationen können Teamviewer Sessions gekapert werden, wahrscheinlich aber ein recht unwahrscheinliches Szenario. Da der Teamviewer gerne für ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Windows Server
Server 2012 über Eingabeaufforderung devmgmt.msc geht nicht
gelöst Frage von achim222Windows Server9 Kommentare

Hallo, ich habe hier einen Server 2012 der im Reparaturmodus startet. Es liegt an einem falschen VirtIO Treiber für ...