105215
May 10, 2012
2714
6
0
Einer Gruppe das Anmelden von Rechnern in eine AD erlauben
Bei uns im Unternehmen gibt es eine kleine Gruppe von PC-Betreuern welche für Mitarbeiter neue Rechner aufsetzt. Diese müssen später in unsere Win2k8 R2 AD aufgenommen werden.
Hallo zusammen,
ich hab mal wieder eine Frage wo Ihr mir sicherlich helfen könnt.
Ich möchte nicht das jeder PC-Betreuer Domänen-Adminrechte hat um beliebig viele Rechner in die oben genannte AD aufnehmen zu können. Ich habe alle PC-Betreuer in einer globalen Sicherheitsgruppe zusammengefasst G_AD und habe dann auf dem DC in den Default Domain Policy in Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten die Richtlinie Hinzufügen von Arbeitsstationen zur Domäne definiert. Und zwar habe ich dort die G_AD und die Domänen-Admins eingetragen. Also nur diese beiden Gruppen sollen Rechner in die AD aufnehmen können. Ich hoffe das ist soweit richtig.
Am Client sind die PC-Betreuer bis zu dem Punkt anmelden an der AD mit einem lokalen Admin aktiv.
Was für Voraussetzungen müssen noch gegeben werden damit die PC-Betreuer mehr als 10 Rechner in die Domäne aufnehmen können aber keine Domänen-Adminrechte haben? Und wie kann ich das deaktivieren das jeder User 10 Rechner in die AD aufnehmen kann?
Ich hoffe Ihr könnt mir hier an der Stelle helfen.
Vielen Dank und Gruß
Karsten
ich hab mal wieder eine Frage wo Ihr mir sicherlich helfen könnt.
Ich möchte nicht das jeder PC-Betreuer Domänen-Adminrechte hat um beliebig viele Rechner in die oben genannte AD aufnehmen zu können. Ich habe alle PC-Betreuer in einer globalen Sicherheitsgruppe zusammengefasst G_AD und habe dann auf dem DC in den Default Domain Policy in Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Zuweisen von Benutzerrechten die Richtlinie Hinzufügen von Arbeitsstationen zur Domäne definiert. Und zwar habe ich dort die G_AD und die Domänen-Admins eingetragen. Also nur diese beiden Gruppen sollen Rechner in die AD aufnehmen können. Ich hoffe das ist soweit richtig.
Am Client sind die PC-Betreuer bis zu dem Punkt anmelden an der AD mit einem lokalen Admin aktiv.
Was für Voraussetzungen müssen noch gegeben werden damit die PC-Betreuer mehr als 10 Rechner in die Domäne aufnehmen können aber keine Domänen-Adminrechte haben? Und wie kann ich das deaktivieren das jeder User 10 Rechner in die AD aufnehmen kann?
Ich hoffe Ihr könnt mir hier an der Stelle helfen.
Vielen Dank und Gruß
Karsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 184750
Url: https://administrator.de/contentid/184750
Printed on: April 24, 2024 at 06:04 o'clock
6 Comments
Latest comment
Hallo,
Guckst du hier: http://support.microsoft.com/kb/251335/EN-US
Besonders Methode 3 dürfte interessant sein.
Guckst du hier: http://support.microsoft.com/kb/251335/EN-US
Besonders Methode 3 dürfte interessant sein.
Hi MaceWindu,
das ist schon einmal nicht schlecht. Ich habe die Methode 3 in meiner Test AD-Umgebung eingerichtet.
Wenn ich den Wert auf 0 setze können nur noch Domänen-Admins Rechner hinzufügen alle anderen bekommen "Anzahl überschritten". Wie bekomme ich nun noch die PC-Betreuer dazu das diese es können ohne Domänen-Adminrechte zu haben. Die GPO welche ich oben erwähnt habe schein nichts zu nützen denn die PC-Betreuer bekommen die gleiche Meldung wie die Domänen-Benutzer auch obwohl diese es eigentlich dürfen sollten.
Mache ich was falsch?
Gruß
Karsten
das ist schon einmal nicht schlecht. Ich habe die Methode 3 in meiner Test AD-Umgebung eingerichtet.
Wenn ich den Wert auf 0 setze können nur noch Domänen-Admins Rechner hinzufügen alle anderen bekommen "Anzahl überschritten". Wie bekomme ich nun noch die PC-Betreuer dazu das diese es können ohne Domänen-Adminrechte zu haben. Die GPO welche ich oben erwähnt habe schein nichts zu nützen denn die PC-Betreuer bekommen die gleiche Meldung wie die Domänen-Benutzer auch obwohl diese es eigentlich dürfen sollten.
Mache ich was falsch?
Gruß
Karsten
Hmm, jetzt erst gesehen: Laut Beschreibung für Win2000/NT-Server... Kann sein das es darum nicht geht, leider keine Erfahrungswerte mit dieser Funktion.
ABER, da steht auch "6.In the Edit Attribute box, type a number. This number represents the number of workstations that you want users to be able to maintain concurrently."
Warum dann den Wert "0"?
ABER, da steht auch "6.In the Edit Attribute box, type a number. This number represents the number of workstations that you want users to be able to maintain concurrently."
Warum dann den Wert "0"?
Hi MaceWindu,
ich habe den Wert von 10 auf 0 gestellt. Das stimmt schon was da steht dann können nur die zugreifen welche ein entsprechendes Recht haben und die Domänen-Admins.
Alle anderen bekommen Zugriff verweigert was auch OK ist. Nur die Gruppe suche ich noch welche das Recht zusätzlich hat.
Ich teste mal was bei Konten-Operator passiert wenn ich dort die Gruppe G_AD aufnehme.
Welchen Wert würdest du denn nehmen?
Gruß
Karsten
ich habe den Wert von 10 auf 0 gestellt. Das stimmt schon was da steht dann können nur die zugreifen welche ein entsprechendes Recht haben und die Domänen-Admins.
Alle anderen bekommen Zugriff verweigert was auch OK ist. Nur die Gruppe suche ich noch welche das Recht zusätzlich hat.
Ich teste mal was bei Konten-Operator passiert wenn ich dort die Gruppe G_AD aufnehme.
Welchen Wert würdest du denn nehmen?
Gruß
Karsten
Na halt einen Wert über 10^^
So wie ich die Beschreibung verstehe darf der Wert "0" kein Objekt in die Domäne aufnehmen. Und 10 ist der unkonfigurierte Standardwert....
So wie ich die Beschreibung verstehe darf der Wert "0" kein Objekt in die Domäne aufnehmen. Und 10 ist der unkonfigurierte Standardwert....
Richtig, 0 bedeutet das niemand ausser denen ich es erlaube Rechner in die Domäne aufnehmen können. Ich kann aber nicht jedem erlauben XXX beliebig viele Rechner in die AD aufnehmen zu können.
Ich habe nun wie oben beschriebene Gruppe in der Gruppe Kontenoperatoren hinzugefügt und seither können nur PC-Betreuer und Domänen-Admins Rechner in die Domäne aufnehmen, alle anderen nicht. So schaut es für mich gut aus.
Gruß
Karsten
Ich habe nun wie oben beschriebene Gruppe in der Gruppe Kontenoperatoren hinzugefügt und seither können nur PC-Betreuer und Domänen-Admins Rechner in die Domäne aufnehmen, alle anderen nicht. So schaut es für mich gut aus.
Gruß
Karsten
