Hi
Am 16.12.2010 13:23, schrieb Giacomo Calamia:
[...] wenn ein neuer Windows 7 Client an eine Windows 2003/2008
Domain per unattend connecten möchte, muss der "Join" Domain User
mindestens Domain Admin Rechte haben
Auf gar keinen Fall. Definitiv nein.
Auf das Minimum heruntergebrochen reicht es auf einer OU für
ComputerObjekte an folgenden Attributen Schreibrechte zu besitzen:
"Reset Password", "Account Restrictions", "Validated write to DNS host
name" und "Validated write to service principal name"
Wenn es bei euch der Fall ist, dann könnte es an folgenden Dingen liegen:
- Ihr habt die ms-DS-MachineAccountQuota auf 0 gesetzt und keine
weiteren Rechte für eine Benutzergruppe delegiert oder seit am
Limit der 10 Workstations angekommen.
- Ihr habt das Recht "Hinzufügen von Arbeitsstationen zur Domäne" unter
Zuweisen von Benutzerrechten manipuliert, entweder schon an jedem PC
oder in der DDCP, dort stünden die "Authentifizierte Benutzer" drin
http://www.msresource.net/knowledge_base/articles/info:_how_does_ms-ds-machineaccountquota_work.html
Um diese beiden Baustellen zu umschiffen, wäre der einfachste Weg:
- neue OU erstellen oder den Container Computers verwenden
- über die Objektdelegation einer "InstallUserGroup" Vollzugriff
auf Computerobjekte unterhalb von dieser OU zu geben.
- redircmp in diese OU (nur bei eigener OU) oder Angabe der OU in der
Antwortdatei
- ms-ds-MachineAccountQuota erhöhen halte ich für flasch, denn dann
ist das Ende ja auch wieder absehbar ... Am Ende des nächsten Limits.
100.000 als Lösung ist kein guter Wert ... ;-)
Effekte:
a) Hinzufügen von Arbeitsstationen zur Domäne wird dann nicht überprüft,
denn er darf ja Objekte in dieser OU erstellen
b) ms-ds-MachineAccountQuota kommt auch nicht zum Einsatz, da er ja das
Recht hat ...
Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
GPO Tool: www.reg2xml.com - Registry Export File Converter
NNTP Bridge:
http://communitybridge.codeplex.com/releases
