7
10 Computer in Domain einbinden durch Authentifizierte Benutzer
Hallo Leutz,
in nem Buch hab ich folgendes gelesen: "Dass ein Authentifizierte Benutzer (Jeder)
nur 10 Computer der Domäne hinzufügen kann"
Möglichkeit 1:
Wie soll man das verstehen? - Jeder Benutzer hat also das Recht,
wenn er lokale AdminRechte besitzt, einen PC in die Domäne aufzunehmen?
Dieser PC wird dann der Gruppe "Computers" im AD hinzugefügt?
Mögichkeit 2: Um das zu verhindern
Man nimmt den PC (mit den richtigen PC Namen vorher in die Domäne auf (sprich
einen neuen PC im AD anlegen (wozu man mind. Konten Rechte braucht)
und vergibt dann die z.B. die Rechte, das nur Domain-Admins diesen PC in die Domain hinzufügen dürfen / können?
MfG
in nem Buch hab ich folgendes gelesen: "Dass ein Authentifizierte Benutzer (Jeder)
nur 10 Computer der Domäne hinzufügen kann"
Möglichkeit 1:
Wie soll man das verstehen? - Jeder Benutzer hat also das Recht,
wenn er lokale AdminRechte besitzt, einen PC in die Domäne aufzunehmen?
Dieser PC wird dann der Gruppe "Computers" im AD hinzugefügt?
Mögichkeit 2: Um das zu verhindern
Man nimmt den PC (mit den richtigen PC Namen vorher in die Domäne auf (sprich
einen neuen PC im AD anlegen (wozu man mind. Konten Rechte braucht)
und vergibt dann die z.B. die Rechte, das nur Domain-Admins diesen PC in die Domain hinzufügen dürfen / können?
MfG
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 62059
Url: https://administrator.de/forum/10-computer-in-domain-einbinden-durch-authentifizierte-benutzer-62059.html
Ausgedruckt am: 09.04.2025 um 23:04 Uhr
7 Kommentare
Neuester Kommentar
Hi,
Was für ein Buch ist das???
habe noch nie gehörrt das ein "Domain User/Benutzer" Rechner in die Domäne fahren darf.
Dafür wird schon mehr wie "nur" Domain_Benutzer rechte verlangt.
Sylvio
Was für ein Buch ist das???
habe noch nie gehörrt das ein "Domain User/Benutzer" Rechner in die Domäne fahren darf.
Dafür wird schon mehr wie "nur" Domain_Benutzer rechte verlangt.
Sylvio
Hi,
standardmäßig kann kein nomaler Benutzer einen Rechner ins AD hängen, auch nicht als lokaler Admin.
Man kann jedoch über die Sicherheitsrichtlinien dieses Recht vergeben, vielleicht ist das ja in dem Buch gemeint.
Gruss
Randy
standardmäßig kann kein nomaler Benutzer einen Rechner ins AD hängen, auch nicht als lokaler Admin.
Man kann jedoch über die Sicherheitsrichtlinien dieses Recht vergeben, vielleicht ist das ja in dem Buch gemeint.
Gruss
Randy
Absolut richtig. Jeder User, der sich am AD authentifizieren kann, darf bis zu 10 Computer in die Domäne aufnehmen. Du kannst das Verhindern, indem du das qouta in dr Domänenkonfiguration änderst.
Das geht wie folgt:
nun sollte es nicht mehr möglich sein, das Authentifizierte Benutzer computerobjekte im AD erstellen können. Sicherheitshalber musst du noch überprüfen das die Gruppe "Authentifizierte Benutzer" oder "Domänen-Benutzer" im Comtainer nicht über das Recht "Objekte erstellen" verfügt.
In manchen Büchern steht das tatsächlich das man Computerobjekte vorher anlegen soll, das hindert den User aber nicht seinen Privatlaptop an die Domäne zu hängen. Absoluter quatsch. Das einzige was etwas bringen würde, auf den Container "Computers" die Berechtigung zum anlegen vom Objekten zu verweigern. Auch kann man den standart-Pfad in dem Objekte angelegt werden in eine andere OU legen, ist aber alles nur eine bekämpfung der auswirkungen. Das quota auf 0 setzen und alles ist erledigt. Istgenau wie der spruch in manchen Büchern, man solle doch bitte die User per script anlegen um den angezeigten Namen auf "nachname Vorname" zu ändern. Ein kleiner eingriff im Schema, und das Problem ist Forrestweit behoben. So ein quatsch.
Was ist das für ein Buch?
Das geht wie folgt:
- Installiere die Windows Support Tools (findest du auf der Windows-CD)
- starte adsiedit.msc (cmd: c:\programme\support tools\adsiedit.msc)
- Klicke auf den Zweig Computer auf der linken Seite
- klicke auf der Rechten seite auf den Zweig DC=Domäne,DC=Com mit der rechten Maustaste und wähle Eigenschaften
- Suche das Attribut ms-DS-MachineAccountQuota und wähle Edit
- ändere den Wert (standartmäßig 10) auf 0 (oder je nach dem wie viele Computerobjekte deine User anlegen dürfen, auch ein anderer Wert)
- Bestätige alles mit OK und beende ADSIEDIT.
nun sollte es nicht mehr möglich sein, das Authentifizierte Benutzer computerobjekte im AD erstellen können. Sicherheitshalber musst du noch überprüfen das die Gruppe "Authentifizierte Benutzer" oder "Domänen-Benutzer" im Comtainer nicht über das Recht "Objekte erstellen" verfügt.
In manchen Büchern steht das tatsächlich das man Computerobjekte vorher anlegen soll, das hindert den User aber nicht seinen Privatlaptop an die Domäne zu hängen. Absoluter quatsch. Das einzige was etwas bringen würde, auf den Container "Computers" die Berechtigung zum anlegen vom Objekten zu verweigern. Auch kann man den standart-Pfad in dem Objekte angelegt werden in eine andere OU legen, ist aber alles nur eine bekämpfung der auswirkungen. Das quota auf 0 setzen und alles ist erledigt. Istgenau wie der spruch in manchen Büchern, man solle doch bitte die User per script anlegen um den angezeigten Namen auf "nachname Vorname" zu ändern. Ein kleiner eingriff im Schema, und das Problem ist Forrestweit behoben. So ein quatsch.
Was ist das für ein Buch?
Hi,
jetzt bin ich echt fertig ... das hab ich nicht gewußt ... soll ich vielleicht doch mehr Bücher lesen?!? (RTFM)
hier der MS-Artikel dazu.
http://support.microsoft.com/kb/243327/en-us
Gruss
Randy
jetzt bin ich echt fertig ... das hab ich nicht gewußt ... soll ich vielleicht doch mehr Bücher lesen?!? (RTFM)
hier der MS-Artikel dazu.
http://support.microsoft.com/kb/243327/en-us
Gruss
Randy
cool, den KB Artikel kannte ich auch noch nicht.
Sorry Leutz,
bin etwas spät dran
Verwalten und Warten einer Microsoft Windows 2003-Umgebeung
von Dan Holme und Orin Thomas
Microsoft Certified
Professional
70-290
MCSE / MCSA
Probelm ist ja somit behoben :D
Dank Leutz
bin etwas spät dran
Verwalten und Warten einer Microsoft Windows 2003-Umgebeung
von Dan Holme und Orin Thomas
Microsoft Certified
Professional
70-290
MCSE / MCSA
Probelm ist ja somit behoben :D
Dank Leutz
Das ist anders gemeint.
Die Systembenutzergruppe "Authentifizierte Benutzer" darf bis zu 10 Rechner in die Domäne aufnehmen. Das ist in dem 270er Buch nur angeschnitten, es soll dir praktisch nur sagen das jeder Domänen-Benutzer standartmäßig 10 Computer hinzufügen kann.
Weiter unten in der Lektion werden die Vorteile erwähnt, wenn man die Computerkonten vorher anlegt. Gemeint ist damit im groben, wenn man ein Computerkonto in der richtigen OU vorher anlegt, werden Gruppenrichtlinien usw. gleich bein hinzufügen der Arbeitsstation in die Domäne angewendet werden. Um sicherzustellen, das nur bestimmte Admins/User Computer in diese OU aufnehmen können, steht in dem Buch man solle die Sicherheitseinstellungen für die OU oder das Konto ändern.
Ist ja soweit alles richtig, der User kann aber seinen Computer trotzdem noch in die Domäne aufnehmen. Er kann eben nur nicht das vorgegebene Computerkonto verwenden. Das hat den Vorteil, wenn auf der OU in der man das Computerkonto erstellt hat, kritische Einstellungen gesetzt sind, der User nicht ohne weiteres diese GPO´s auf seinen Computer anwenden kann. Es währe ja extrem ungünstig wenn ind er OU berechtigungen für zb. IPSec konfiguriert sind oder nur Computer innerhalb dieser OU gegenseitig zugreifen können (weil zb. das Computerkonto member einer Sicherheitsgruppe ist, die unter "Netzwerkzugriff auf diesen Computer erlauben" eingetragen ist) können. In dem Kapitel geht es um Gruppenrichtlinien usw., nicht aber um die Sicherheit einer AD-Struktur. Erst In der 70-294, 70-298 und 70-299 werden solche Themen etwas genauer behandelt. Genauer, wenn du die 290 schaffst, kannst du deinen Server verwalten, hast das Basiswissen zum anlegen von Gruppen, Konten usw. und kommst mit grundlegender Authorisierung zurecht. Wenn du diesen Bereich vertiefen möchtest, empfehle ich die das MSPress Buch zur 70-299 und das Nicole Laue Buch (Windows Server 2003 Security Trainer).
Kleiner Einwurf: Kann mir nun endlich mal jemand ein Buch für die 70-350 empfehlen? Es scheint ja nur die tech. Doku und den Nicole Laue Trainer zu geben. Da ich selbst niemals den ISA einsetzen würde, die Prüfung aber für den MCSE:Security erforderlich ist brauche ich eben ein Buch das das Thema ISA vollständig behandelt. Mit fehlen noch 3 Prüfungen(293, 294, 350), und eine ist eben die verflixte 350. Ich kenne leider niemanden der diese Prüfung abgelegt hat, desshalb brauche ich Info´s zu guten Büchern über ISA.
grüße.
Die Systembenutzergruppe "Authentifizierte Benutzer" darf bis zu 10 Rechner in die Domäne aufnehmen. Das ist in dem 270er Buch nur angeschnitten, es soll dir praktisch nur sagen das jeder Domänen-Benutzer standartmäßig 10 Computer hinzufügen kann.
Weiter unten in der Lektion werden die Vorteile erwähnt, wenn man die Computerkonten vorher anlegt. Gemeint ist damit im groben, wenn man ein Computerkonto in der richtigen OU vorher anlegt, werden Gruppenrichtlinien usw. gleich bein hinzufügen der Arbeitsstation in die Domäne angewendet werden. Um sicherzustellen, das nur bestimmte Admins/User Computer in diese OU aufnehmen können, steht in dem Buch man solle die Sicherheitseinstellungen für die OU oder das Konto ändern.
Ist ja soweit alles richtig, der User kann aber seinen Computer trotzdem noch in die Domäne aufnehmen. Er kann eben nur nicht das vorgegebene Computerkonto verwenden. Das hat den Vorteil, wenn auf der OU in der man das Computerkonto erstellt hat, kritische Einstellungen gesetzt sind, der User nicht ohne weiteres diese GPO´s auf seinen Computer anwenden kann. Es währe ja extrem ungünstig wenn ind er OU berechtigungen für zb. IPSec konfiguriert sind oder nur Computer innerhalb dieser OU gegenseitig zugreifen können (weil zb. das Computerkonto member einer Sicherheitsgruppe ist, die unter "Netzwerkzugriff auf diesen Computer erlauben" eingetragen ist) können. In dem Kapitel geht es um Gruppenrichtlinien usw., nicht aber um die Sicherheit einer AD-Struktur. Erst In der 70-294, 70-298 und 70-299 werden solche Themen etwas genauer behandelt. Genauer, wenn du die 290 schaffst, kannst du deinen Server verwalten, hast das Basiswissen zum anlegen von Gruppen, Konten usw. und kommst mit grundlegender Authorisierung zurecht. Wenn du diesen Bereich vertiefen möchtest, empfehle ich die das MSPress Buch zur 70-299 und das Nicole Laue Buch (Windows Server 2003 Security Trainer).
Kleiner Einwurf: Kann mir nun endlich mal jemand ein Buch für die 70-350 empfehlen? Es scheint ja nur die tech. Doku und den Nicole Laue Trainer zu geben. Da ich selbst niemals den ISA einsetzen würde, die Prüfung aber für den MCSE:Security erforderlich ist brauche ich eben ein Buch das das Thema ISA vollständig behandelt. Mit fehlen noch 3 Prüfungen(293, 294, 350), und eine ist eben die verflixte 350. Ich kenne leider niemanden der diese Prüfung abgelegt hat, desshalb brauche ich Info´s zu guten Büchern über ISA.
grüße.
