6
Windows Server 2003 SBE Domänenanmeldung unmöglich bzw. nur einmalig
Benutzerrechte erteilen, wo sind sie nur hin????
Hallo an alle!
Stellt euch folgendes Szenario vor:
Ein Kollege nimmt sein hier in der Firmendomäne angemeldetes und seit Monaten funktionierendes Notebook zur Heimarbeit mit nach Hause. Um dort aber ins Internet zu kommen benutzt er irrigerweise die Windows-Verbindungsfreigabe für Gemeinsame Nutzung der Internetverbindung. Er muss also die Domäne rausnehmen und in seine Arbeitsgruppe (Zuhause) wechseln.
Vorher hat er sich alle Einstellungen aufgeschrieben die unter Systemeigenschaften-->Computername zu finden waren.
Ergebnis: Seine Sachen bei ihm Zuhause gingen alle wie gewünscht, doch als er den nächsten morgen in die Firma kam konnte er sich nicht mehr in die Domäne einloggen.
Fehlermeldung: Beim Versuch den Computer an die Domäne anzumelden ist folgender Fehler aufgetreten. Zugriff verweigert.
Ich dachte, das gibts doch nicht die Einstellungen stimmen...
Mir blieb nichts anders übrig als Ihm kurzeitig Administratorrechte zu geben, damit er sich einloggen konnte.
Szenario Ende.
Jetzt habe ich versucht den Domänen-Benutzern das Recht zu geben sich an die Domäne anmelden zu können, wann immer sie wollen und aus welcher Arbeitsgruppe heraus sie wollen.
Der Adminstrator-Account hat offensichtlich dieses Recht, aber da in Server2003 ja alles so schön übersichtlich und sofort durchschaubar gestaltet ist, finde ich einfach nicht heraus welches Recht das sein soll, geschweigedem wo die ganzen Rechte überhaupt sind. Die kleine Liste in der "Sicherheitsrichtlinie für Domänencontroller" kann doch wohl nicht alles sein...
Welchen Sinn soll es haben, dass sich Domänen-Benutzer nur ein einziges mal am Anfang in die Domäne joinen können und später dann nicht mehr?
Gruß mclear
Hallo an alle!
Stellt euch folgendes Szenario vor:
Ein Kollege nimmt sein hier in der Firmendomäne angemeldetes und seit Monaten funktionierendes Notebook zur Heimarbeit mit nach Hause. Um dort aber ins Internet zu kommen benutzt er irrigerweise die Windows-Verbindungsfreigabe für Gemeinsame Nutzung der Internetverbindung. Er muss also die Domäne rausnehmen und in seine Arbeitsgruppe (Zuhause) wechseln.
Vorher hat er sich alle Einstellungen aufgeschrieben die unter Systemeigenschaften-->Computername zu finden waren.
Ergebnis: Seine Sachen bei ihm Zuhause gingen alle wie gewünscht, doch als er den nächsten morgen in die Firma kam konnte er sich nicht mehr in die Domäne einloggen.
Fehlermeldung: Beim Versuch den Computer an die Domäne anzumelden ist folgender Fehler aufgetreten. Zugriff verweigert.
Ich dachte, das gibts doch nicht die Einstellungen stimmen...
Mir blieb nichts anders übrig als Ihm kurzeitig Administratorrechte zu geben, damit er sich einloggen konnte.
Szenario Ende.
Jetzt habe ich versucht den Domänen-Benutzern das Recht zu geben sich an die Domäne anmelden zu können, wann immer sie wollen und aus welcher Arbeitsgruppe heraus sie wollen.
Der Adminstrator-Account hat offensichtlich dieses Recht, aber da in Server2003 ja alles so schön übersichtlich und sofort durchschaubar gestaltet ist, finde ich einfach nicht heraus welches Recht das sein soll, geschweigedem wo die ganzen Rechte überhaupt sind. Die kleine Liste in der "Sicherheitsrichtlinie für Domänencontroller" kann doch wohl nicht alles sein...
Welchen Sinn soll es haben, dass sich Domänen-Benutzer nur ein einziges mal am Anfang in die Domäne joinen können und später dann nicht mehr?
Gruß mclear
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 37238
Url: https://administrator.de/contentid/37238
Ausgedruckt am: 23.11.2024 um 15:11 Uhr
6 Kommentare
Neuester Kommentar
Hi,
ich glaube Dein Problem liegt darin, dass ein Domain-User normalerweise nicht das Recht hat einen Rechner zu einem Mitglied einer Domain zu machen. Und das ist auch gut so aus Sicherheitsgründen. Dein Kollege sollte sich besser einen DSL-Router für zu Hause holen,
gibt es ab 50,- €. Alles andere ist eine Sicherheitsproblematik.
Des Weiteren solltest Du sicherstellen, dass Benutzer die Ihre Notebooks mit Heim nehmen
einen aktuellen Virenscanner haben. Damit das Firmennetz nicht von innen her kompromitiert
wird. Und oberstes Gebot, kein User erhält Admin-Rechte.
Oder habe ich Dein Problem falsch verstanden?
MfG
Maggus
ich glaube Dein Problem liegt darin, dass ein Domain-User normalerweise nicht das Recht hat einen Rechner zu einem Mitglied einer Domain zu machen. Und das ist auch gut so aus Sicherheitsgründen. Dein Kollege sollte sich besser einen DSL-Router für zu Hause holen,
gibt es ab 50,- €. Alles andere ist eine Sicherheitsproblematik.
Des Weiteren solltest Du sicherstellen, dass Benutzer die Ihre Notebooks mit Heim nehmen
einen aktuellen Virenscanner haben. Damit das Firmennetz nicht von innen her kompromitiert
wird. Und oberstes Gebot, kein User erhält Admin-Rechte.
Oder habe ich Dein Problem falsch verstanden?
MfG
Maggus
Ja, Problem absolut richtig verstanden. Nur leider keine Lösung für das Problem genannt...
Leider muss ich eben doch kurzzeitig Administratorrechte geben damit er wieder in die Domäne kommt.
Extra einen Router kaufen kommt nicht in Frage --> Lösungsvorschlag indiskutabel
Außerdem könnte er auch anders rein ohne die Domäne rauszuschmeißen, aber das ist nicht das Thema.
Was soll schlimmes daran sein oder gar sicherheitskritisch wenn ein autentifizierter Domänen-Benutzer sich aus der Domäne an und abmelden kann???
Er macht sich ja nicht zum Mitglied der Domäne, sondern war und ist es auch immer noch. Er darf eben nur nicht in die Domäne rein wenn er einmal draußen war, also z.B. in eine Arbeitsgruppe gewechselt hat. Der Sinn solch einer "Sicherheitsfunktion" bleibt mir verborgen.
Ich würde gern dem Domain-User das Recht geben sich ein- bzw. auszuwählen wann er will! Weiß nur nicht wo... Bei NT und 2000 wars ganz einfach, Benutzergruppe her; aus 100000 Rechten das richtige genommen und alles war klar.
Gruß mclear
Leider muss ich eben doch kurzzeitig Administratorrechte geben damit er wieder in die Domäne kommt.
Extra einen Router kaufen kommt nicht in Frage --> Lösungsvorschlag indiskutabel
Außerdem könnte er auch anders rein ohne die Domäne rauszuschmeißen, aber das ist nicht das Thema.
Was soll schlimmes daran sein oder gar sicherheitskritisch wenn ein autentifizierter Domänen-Benutzer sich aus der Domäne an und abmelden kann???
Er macht sich ja nicht zum Mitglied der Domäne, sondern war und ist es auch immer noch. Er darf eben nur nicht in die Domäne rein wenn er einmal draußen war, also z.B. in eine Arbeitsgruppe gewechselt hat. Der Sinn solch einer "Sicherheitsfunktion" bleibt mir verborgen.
Ich würde gern dem Domain-User das Recht geben sich ein- bzw. auszuwählen wann er will! Weiß nur nicht wo... Bei NT und 2000 wars ganz einfach, Benutzergruppe her; aus 100000 Rechten das richtige genommen und alles war klar.
Gruß mclear
Hi,
achso habe Dich falsch verstanden. Ich dachte Du willst einem Benutzer das Recht geben,
den PC zum Mitglied der Domain zu machen.
Allerdings ist es problematisch, wenn er den PC aus der Domain rausnimmt. Er sollte das nicht tun, damit Du ihn nicht jedesmal wieder in die Domain reinbringen musst. Das darf nämlich nur ein Admin.
Damit sich der Domain-User an der Domain anmelden darf bzw. kann muss der PC von dem aus er sich anmelden will, Mitglied der Domain sein. Wenn er ihn allerdings herausnimmt, geht das natürlich nicht.
-> Aus welcher Arbeitsgruppe heraus sie wollen???
--> Das geht nicht. Lediglich die Authentifizierung via DFÜ/VPN ist möglich. Allerdings wird
-->dann kein Profil gezogen.
Ich hoffe das hilft Dir weiter.
MfG
Maggus
achso habe Dich falsch verstanden. Ich dachte Du willst einem Benutzer das Recht geben,
den PC zum Mitglied der Domain zu machen.
Allerdings ist es problematisch, wenn er den PC aus der Domain rausnimmt. Er sollte das nicht tun, damit Du ihn nicht jedesmal wieder in die Domain reinbringen musst. Das darf nämlich nur ein Admin.
Damit sich der Domain-User an der Domain anmelden darf bzw. kann muss der PC von dem aus er sich anmelden will, Mitglied der Domain sein. Wenn er ihn allerdings herausnimmt, geht das natürlich nicht.
-> Aus welcher Arbeitsgruppe heraus sie wollen???
--> Das geht nicht. Lediglich die Authentifizierung via DFÜ/VPN ist möglich. Allerdings wird
-->dann kein Profil gezogen.
Ich hoffe das hilft Dir weiter.
MfG
Maggus
Also nochmal, er ist Mitglied unserer Domäne kann sich bei Arbeitsbeginn einloggen und zum Feierabend ausloggen. Kein Problem soweit.
Geht er jetzt nach Hause mit seinem Notebook und stellt unter Computername statt:
Mitglied von Domäne: "sowieso.local"
einfach Mitglied von Arbeitsgruppe: "Zuhause" ein, dann kann er richtigerweise Zuhause nicht mehr in die Domäne umschalten... Ist ja kein Domänencontroller da.
Wenn er aber wieder auf Arbeit kommt kann er trotzdem nicht in die Domäne umschalten, weil da "Zugriff verweigert!" kommt. Und das halte ich für einen Microsoft SBE Bug. Ich verstehe nicht warum das nur ein Administrator dürfen soll. Das ist doch nur ne kleine Klackssache. Außerdem meine ich das war früher bei NT-Server und Win2000-Server nicht so, jedenfalls ist es mir nie aufgefallen.
Aus diesem Grund möchte ich nun das eine Recht (was der Administrator auch hat um Mitglied einer Domäne zu werden) dem normalen Domänen-Benutzer auch geben. Leider weiß ich eben nicht, wie und wo ich das machen soll...
MfG
mclear
Geht er jetzt nach Hause mit seinem Notebook und stellt unter Computername statt:
Mitglied von Domäne: "sowieso.local"
einfach Mitglied von Arbeitsgruppe: "Zuhause" ein, dann kann er richtigerweise Zuhause nicht mehr in die Domäne umschalten... Ist ja kein Domänencontroller da.
Wenn er aber wieder auf Arbeit kommt kann er trotzdem nicht in die Domäne umschalten, weil da "Zugriff verweigert!" kommt. Und das halte ich für einen Microsoft SBE Bug. Ich verstehe nicht warum das nur ein Administrator dürfen soll. Das ist doch nur ne kleine Klackssache. Außerdem meine ich das war früher bei NT-Server und Win2000-Server nicht so, jedenfalls ist es mir nie aufgefallen.
Aus diesem Grund möchte ich nun das eine Recht (was der Administrator auch hat um Mitglied einer Domäne zu werden) dem normalen Domänen-Benutzer auch geben. Leider weiß ich eben nicht, wie und wo ich das machen soll...
MfG
mclear
Hi,
also wie ich Dir schon gesagt habe. Einen PC zum Mitglied einer Domain zu machen, was bei Dir der Fall ist egal ob der PC schon beim Server eingetragen ist oder nicht, darf nur ein Domain-Admin. Und das ist schon immer so. Wahrscheinlich ist es Dir nie aufgefallen.
Um deinem Kollegen dieses Recht zu geben muss er beim Beitreten der Domain entweder mit administrator und passwort den PC wieder der Domain beitreten lassen, oder Du musst seinen User-Account der Gruppe der Domain-Admins hinzufügen, wovon ich Dir abraten würde.
Ich hoffe das hilft. ;)
MfG
Maggus
also wie ich Dir schon gesagt habe. Einen PC zum Mitglied einer Domain zu machen, was bei Dir der Fall ist egal ob der PC schon beim Server eingetragen ist oder nicht, darf nur ein Domain-Admin. Und das ist schon immer so. Wahrscheinlich ist es Dir nie aufgefallen.
Um deinem Kollegen dieses Recht zu geben muss er beim Beitreten der Domain entweder mit administrator und passwort den PC wieder der Domain beitreten lassen, oder Du musst seinen User-Account der Gruppe der Domain-Admins hinzufügen, wovon ich Dir abraten würde.
Ich hoffe das hilft. ;)
MfG
Maggus
Ich muss maggus absolut recht geben!
Die Änderung der Zugehörigkeit von Rechnern zu Domainen kann nur durch einen Domänenadministrator durchgeführt werden! Dieses war auch schon unter WinNT und W2k der Fall!
Dieses ist auch absolut in Ordnung so und ist KEIN Bug von Microsoft.
Würde ich jedem User das Recht geben beliebige Rechner Mitglied einer Domäne zu machen, würde ich auch ein riesiges Sicherheitsloch in die Netzstruktur reissen.
Mfg Kai-Ffm
Die Änderung der Zugehörigkeit von Rechnern zu Domainen kann nur durch einen Domänenadministrator durchgeführt werden! Dieses war auch schon unter WinNT und W2k der Fall!
Dieses ist auch absolut in Ordnung so und ist KEIN Bug von Microsoft.
Würde ich jedem User das Recht geben beliebige Rechner Mitglied einer Domäne zu machen, würde ich auch ein riesiges Sicherheitsloch in die Netzstruktur reissen.
Mfg Kai-Ffm
