normatel
Goto Top

Gruppe für Domänenbeitritt?

Alle unsere User müssen in eine neue Domäne eintreten, die User sind in der Gruppe "Domain Users". Wenn solch ein User aber versucht der Domäne beizutreten kommt der Fehler "Anmeldung verweigert". Setze ich dem User "Domain Admin" geht die anmeldung in die Domäne.

Gibt es eine spezielle Gruppe die man hier geben kann, damit der User der Domäne beitreten kann? Domain Admins sollen die User auf keinen Fall sein!

Content-Key: 143823

Url: https://administrator.de/contentid/143823

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 30.05.2010 um 19:58:11 Uhr
Goto Top
Salve,

Zitat von @Normatel:
Alle unsere User müssen in eine neue Domäne eintreten, die User sind in der Gruppe "Domain Users".

daraus kann ich mir keinen Reim machen. Führst du eine Migration durch?
Erläutere das bitte klar und deutlich!

Wenn solch ein User aber versucht der Domäne beizutreten kommt der Fehler "Anmeldung verweigert". Setze ich dem User
"Domain Admin" geht die anmeldung in die Domäne.

Wenn ein Client zur Domäne hinzugefügt wird, geschehen unter anderem zwei Dinge:

- Die Gruppe "Domänen-Benutzer" wird zur lokalen Gruppe "Benutzer" auf dem Client hinzugefügt. Erst jetzt kann sich ein Domänen-Benutzer an diesem Client anmelden.
- Die Gruppe "Domänen-Admins" wird zu der lokalen Gruppe "Administratoren" auf den Client hinzugefügt.

Gibt es eine spezielle Gruppe die man hier geben kann, damit der User der Domäne beitreten kann?

Auch hier: Was meinst du damit? Klar und deutlich lautet die Devise!

Domain Admins sollen die User auf keinen Fall sein!

Und das ist auch gut so!


Viele Grüße

/ > Yusuf Dikmenoglu
Mitglied: Normatel
Normatel 30.05.2010 um 20:58:39 Uhr
Goto Top
daraus kann ich mir keinen Reim machen. Führst du eine Migration durch?
Ja, es wird ein alter SBS2003 komplett ausgetauscht. Da die alte Domain eine company.local war, habe ich diese gleich umgeozgen auf company.com, darum der neue Beitritt.

Wenn ein Client zur Domäne hinzugefügt wird, geschehen unter anderem zwei Dinge:
Der Client wird ja aber erst hinzugefügt, nachdem der User mit dem Client der Domäne beigetreten ist, daher die Frage, wie kommt der User ohne Domain Admin Rechte in die Domäne?

Gibt es eine spezielle Gruppe die man hier geben kann, damit der User der Domäne beitreten kann?
Eine Gruppe, außer Domain Admins wo man den user reinstecken kann, er ohne Domain Admin -Rechte aber dennoch der Domäne joinen kann, mit dem lokalen Userkonto geht das ja nicht!

Danke im Voraus
Mitglied: StefanKittel
StefanKittel 30.05.2010 um 21:08:25 Uhr
Goto Top
Zitat von @Normatel:
Der Client wird ja aber erst hinzugefügt, nachdem der User mit dem Client der Domäne beigetreten ist, daher die Frage,
wie kommt der User ohne Domain Admin Rechte in die Domäne?
Im Normalfall: gar nicht. Kein normaler Benutzer hat das Recht einer Domäne beizutreten oder sie zu verlassen. Das dürfen nur Admins.

Aber irgendwie machst Du was falsch.
Die Migration von 2003 auf 2008 läuft normalerweise viel einfacher ab. Google mal danach oder schau ins Buch von MS.

Stefan
Mitglied: Normatel
Normatel 30.05.2010 um 21:18:55 Uhr
Goto Top
Also die Migration ist soweit schon komplett durch, es war ein SBS2003 was das Ganze wesentlicher schwieriger macht, die ganze Domäne wurde neu aufgezogen.

Was soll ich falsch machen? Der User braucht ein Recht für den Domänenbeitritt, nur welches genau?
Da morgen die User (auch aus dem Ausland) morgen auf die neue Domäne zugreifen wollen, müssen sie wohl Domain Admin bekommen, da führt diese Woche wohl kein Weg dran vorbei face-sad
Mitglied: wiesi200
wiesi200 30.05.2010 um 21:25:55 Uhr
Goto Top
Wie schon geschrieben. Ein User tritt nicht der Domain bei. Der Admin legt die User in der Domain an und hängt auch die PC's rein. Währ auch schlimm wenn's anders währ.
Mitglied: Normatel
Normatel 30.05.2010 um 21:29:33 Uhr
Goto Top
Ja natürliche lege ich die User in der Domäne an. Aber wie soll ich denn vorgehen wenn wir im Ausland ein Büro haben und die User selbst der Domäne beitreten müssen, da bleibt mir wohl nichts anders übrig als das sie die Rehcte bekommen und sagen "Domäne xy beitreten" mit ihrer User-Authentifizierung oder?
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 30.05.2010 um 21:31:07 Uhr
Goto Top
Du hast dann bei deiner Migration einiges verkehrt gemacht.
So wie du dir das vorstellst funktioniert es jedenfalls nicht. Wenn du es richtig gemacht hättest, nämlich mit ADMT zu migrieren,
hättest du auf Knopfdruck die Benutzer- sowie Clients zur neuen Domäne migrieren können ohne das die Benutzer davon etwas mitbekommen hätten.

Möchtest du noch die Benutzer migrieren? Das kannst du auch mit ADMT erledigen.
Der Nachteil daran ist, da du bereits die Clients zur neuen Domäne hinzugefügt und nicht mit ADMT migriert hast, bekommen die Benutzer ein neues Profil.


Gruß, Yusuf Dikmenoglu
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 30.05.2010 um 21:33:39 Uhr
Goto Top
Zitat von @Normatel:
Aber wie soll ich denn vorgehen wenn wir im Ausland ein Büro
haben und die User selbst der Domäne beitreten müssen, da bleibt mir wohl nichts anders übrig als das sie die
Rehcte bekommen und sagen "Domäne xy beitreten" mit ihrer User-Authentifizierung oder?

Das geht so nicht! Vergiss es und eigne dir erstmal ein paar Grundlagen an.
Benutzer einrichten kann nur der Domänen-Admin oder wenn du mit ADMT migrierst, werden die "alten" Konten automatisch übernommen.
Der Benutzer selbst kann kein Konto in der Domäne erstellen.


Gruß, Yusuf Dikmenoglu
Mitglied: Normatel
Normatel 30.05.2010 um 21:35:18 Uhr
Goto Top
Stimmt, ein neues Profil bekommen sie, was auch wirklich schlecht ist. Habe es nun auch zum ersten mal gemacht.
Die alte Domäne ist nicht mehr verfügbar, somit ist wohl auch die Migration mit ADMT nicht mehr möglich oder? Hatte das ADMT aber mal angeworfen, ich meine mich zu entsinnen das es da beim WS2k8 Fehler gab, da von SBS2003 auf Server 2008. Ich meinte da war was nicht kompatibel miteinander, darum auch der ganze neue Umstieg!
Mitglied: wiesi200
wiesi200 30.05.2010 um 21:36:45 Uhr
Goto Top
Fernwartung? Ich verwende für sowas Teamviewer.
Aber wie schon geschrieben du hast das etwas falsch angegangen. ADMT währ da sehr interresant.
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 30.05.2010 um 21:37:36 Uhr
Goto Top
Zitat von @Normatel:
Die alte Domäne ist nicht mehr verfügbar, somit ist wohl auch die Migration mit ADMT nicht mehr möglich oder?

Korrekt, wenn die alte Domäne nicht mehr verfügbar ist, kannst du demzufolge auch nicht mehr migrieren.

Ich meinte da war was nicht kompatibel miteinander, darum auch der ganze neue Umstieg!

Doch auch in deiner Konstellation hättest du mit ADMT migrieren können. Dazu gibt es auch Whitepaper von Microsoft.


Gruß, Yusuf Dikmenoglu
Mitglied: Normatel
Normatel 30.05.2010 um 21:43:23 Uhr
Goto Top
Schade, aber ich werde dazu lernen, dass nächste mal werde ich den Fehler nicht mehr machen face-smile
Mitglied: bstefan82
bstefan82 30.05.2010 um 22:26:16 Uhr
Goto Top
das so nicht ganz korrekt. Ein normaler Domain User kann 10 Computer zur Domäne hinzufügen... (Zumindest bis 2003, wie es in ner 2008er aussieht weiß ich net)
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 30.05.2010 um 22:33:48 Uhr
Goto Top
Zitat von @bstefan82:
Ein normaler Domain User kann 10 Computer zur Domäne hinzufügen... (Zumindest bis 2003

Das stimmt zwar, aber darum geht es hier doch garnicht. Die Clients sind bereits in der neuen Domäne.
Die Benutzer fehlen noch.

wie es in ner 2008er aussieht weiß ich net)

Genauso.


Gruß, Yusuf Dikmenoglu
Mitglied: wiesi200
wiesi200 31.05.2010 um 09:14:48 Uhr
Goto Top
Zitat von @bstefan82:
das so nicht ganz korrekt. Ein normaler Domain User kann 10 Computer zur Domäne hinzufügen... (Zumindest bis 2003, wie
es in ner 2008er aussieht weiß ich net)

Hey, sowas lustiges hab ich schon lange nicht mehr gehört.
Mitglied: Yusuf-Dikmenoglu
Yusuf-Dikmenoglu 31.05.2010 um 09:28:48 Uhr
Goto Top
Zitat von @wiesi200:
> Zitat von @bstefan82:
> ----
> das so nicht ganz korrekt. Ein normaler Domain User kann 10 Computer zur Domäne hinzufügen... (Zumindest bis 2003,
wie
> es in ner 2008er aussieht weiß ich net)

Hey, sowas lustiges hab ich schon lange nicht mehr gehört.

Hä?!? Wieso lustig? Das entspricht der Tatsache!

Siehe:

[LDAP://Yusufs.Directory.Blog/ - Clients in die Domäne hinzufügen]
http://blog.dikmenoglu.de/Clients+In+Die+Dom%c3%a4ne+Hinzuf%c3%bcgen.as ...


Gruß, Yusuf Dikmenoglu