Domänen Benutzer verbieten Clients in die Domäne zu holen
Hallo
Ich habe hier ein Problem bei dem ich nicht weiterkomme.
W2k8 R2 Domäne mit XP (werden gerade ausgerottet) und Win7 x64 Clients.
Es ist ja standardmäßig so dass jeder Domänen Benutzer bis zu 10 Clients in die Domäne aufnehmen darf.
Gefällt uns nicht, und deswegen dachte ich mir das ändere ich mal fix ab, soweit die Theorie...
Also habe ich eine GPO definiert und nur die Domänen Admins als berechtigt eingefügt und dachte mir
das wird schon reichen, das ist wohl nicht so.
Der nächste Ansatz war mit dem Tool "ADSI Edit" den Wert "ms-DS-MachineAccountQuota" von 10 auf
"not set" geändert, laut Google wäre das die einfachste Methode noch vor irgendwelchen GPO Spielereien.
Das hat aber leider auch noch nicht gefruchtet, ich kann nach wie vor mit einem ganz normalen Domänen
Benutzer Clients in die Domäne holen und wieder rausschmeißen.
Wo liegt mein Fehler, kann mir da bitte jemand weiterhelfen? Ich sehe den Fehler irgendwie nicht.
Danke Euch
Gruß
Vile-Gangster
Ich habe hier ein Problem bei dem ich nicht weiterkomme.
W2k8 R2 Domäne mit XP (werden gerade ausgerottet) und Win7 x64 Clients.
Es ist ja standardmäßig so dass jeder Domänen Benutzer bis zu 10 Clients in die Domäne aufnehmen darf.
Gefällt uns nicht, und deswegen dachte ich mir das ändere ich mal fix ab, soweit die Theorie...
Also habe ich eine GPO definiert und nur die Domänen Admins als berechtigt eingefügt und dachte mir
das wird schon reichen, das ist wohl nicht so.
Der nächste Ansatz war mit dem Tool "ADSI Edit" den Wert "ms-DS-MachineAccountQuota" von 10 auf
"not set" geändert, laut Google wäre das die einfachste Methode noch vor irgendwelchen GPO Spielereien.
Das hat aber leider auch noch nicht gefruchtet, ich kann nach wie vor mit einem ganz normalen Domänen
Benutzer Clients in die Domäne holen und wieder rausschmeißen.
Wo liegt mein Fehler, kann mir da bitte jemand weiterhelfen? Ich sehe den Fehler irgendwie nicht.
Danke Euch
Gruß
Vile-Gangster
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188353
Url: https://administrator.de/forum/domaenen-benutzer-verbieten-clients-in-die-domaene-zu-holen-188353.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
12 Kommentare
Neuester Kommentar
@bioperiodik: Ja, muss wohl eine Traumwelt sein. Domänenadmins dürfen als einzige Rechnerobjekte löschen (=überschreiben oder löschen), neu erstellen darf das jeder 10x und das ist in jeder NT-Domäne so.
@Vile-Gangster: Gib doch genauer an, welche Richtlinie Du definiert hast und prüf dann bitte auch mit rsop.msc, ob sie auch bereits angewendet wird.
@Vile-Gangster: Gib doch genauer an, welche Richtlinie Du definiert hast und prüf dann bitte auch mit rsop.msc, ob sie auch bereits angewendet wird.
Lies bitte mal hier, das dürfte Dein Fehler sein:
Link (aktualisiert)
-> This security setting is valid only on domain controllers!
Also: An allen DCs gpupdate /force ausführen und erneut probieren.
Link (aktualisiert)
-> This security setting is valid only on domain controllers!
Also: An allen DCs gpupdate /force ausführen und erneut probieren.
Am Client? Zu dem Zeitpunkt ist der Computer doch noch gar nicht in der Domäne? Muss dies nicht eher in der Benutzer-Konfig eingestellt werden? Weil der Benutzer den Rechner hinzufügen tut?
*edit*
*This security setting is valid only on domain controllers* macht doch eher Sinn
*edit*
*This security setting is valid only on domain controllers* macht doch eher Sinn
Zitat von @DerWoWusste:
@bioperiodik: Ja, muss wohl eine Traumwelt sein. Domänenadmins dürfen als einzige Rechnerobjekte löschen
(=überschreiben oder löschen), neu erstellen darf das jeder 10x und das ist in jeder NT-Domäne so.
@bioperiodik: Ja, muss wohl eine Traumwelt sein. Domänenadmins dürfen als einzige Rechnerobjekte löschen
(=überschreiben oder löschen), neu erstellen darf das jeder 10x und das ist in jeder NT-Domäne so.
Ha, verrückt!
Dann war das wohl bisher schon deaktiviert Gut so!
Und wieder was gelernt!
Hallo,
Hat der Benutzer lokale Administartive Rechte?
Gruß,
Peter
Hat der Benutzer lokale Administartive Rechte?
Gruß,
Peter