none
Domain Join delegieren RRS feed

  • Frage

  • Hallo,

    wir haben zwei verschiedene Gruppen von Servicedesk Mitarbeitern. Die Supporter sollen nur Passwörter reseten und Ablaufdaten verändern können.
    Die Manager sollen zusätzlich auch Computer in die Domäne aufnehmen und löschen können.

    Ich denke, das geht am sinnvollsten über eine Delegierung auf OU Ebene.

    Für den Domainjoin dachte ich, dass das Recht Create Computer Objects ausreicht, aber es ist damit nicht möglich Computer in die Domäne aufzunehmen. Ein Punkt der DomainJoin oder so ähnlich heißt kann ich allerdings in den Parametern nicht finden.
    Wie man das Recht zur Aktivierung/Deaktivierung/Änderung der Kontoablaufdaten setzen soll, dazu finde ich auch keinen Parameter.

    Hat da jemand Erfahrung und kann helfen?

    Danke!

    Dienstag, 22. September 2015 10:07

Antworten

Alle Antworten

  • > Für den Domainjoin dachte ich, dass das Recht Create Computer Objects
    > ausreicht, aber es ist damit nicht möglich Computer in die Domäne
    > aufzunehmen.
     
    Nein, reicht nicht :-) Die brauchen auch "Reset Password" für die
    Computeraccounts und müssen bei denen noch ein paar andere Attribute
    schreiben können. Zusätzlich prüfe auch noch in Deinen Domain Policies
    das Recht "Computer zur Domäne hinzufügen".
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Dienstag, 22. September 2015 11:14
  • Am 22.09.2015 schrieb Martin Binder [MVP]:
    Hi,

    Für den Domainjoin dachte ich, dass das Recht Create Computer Objects
    ausreicht, aber es ist damit nicht möglich Computer in die Domäne
    aufzunehmen.

    Nein, reicht nicht :-) Die brauchen auch "Reset Password" für die
    Computeraccounts und müssen bei denen noch ein paar andere Attribute
    schreiben können. Zusätzlich prüfe auch noch in Deinen Domain Policies
    das Recht "Computer zur Domäne hinzufügen".

    Habs jetzt nicht getestet, aber bei Yusuf paßt das meist:
    http://blog.dikmenoglu.de/2007/09/clients-in-die-domaene-hinzufuegen/

    "Berechtigungen für das Hinzufügen eines Computers zur Domäne
    CONTROLRIGHT=”Validated write to DNS host name”,”Account Restrictions”,”Reset Password”,”Validated write to service principal name”"
     Bye
    Norbert


    Dilbert's words of wisdom #04:
    There are very few personal problems that cannot be solved by a suitable application of high explosives.
    nntp-bridge Zugriff auf die MS Foren wieder möglich: https://communitybridge.codeplex.com/

    Dienstag, 22. September 2015 18:56
  • Danke euch, werde es mir mit den Infos noch mal genauer ansehen und melde mich dann wieder.

    Mittwoch, 23. September 2015 05:33
  • > "Berechtigungen für das Hinzufügen eines Computers zur Domäne
    > CONTROLRIGHT=”Validated write to DNS host name”,”Account
    > Restrictions”,”Reset Password”,”Validated write to service principal name”"
     
    Stimmt, das paßt - DNS und SPN :)
     
    Haben wir inzwischen übrigens auch so umgesetzt: Der Computeraccount
    wird automatisch provisioniert, und der eigentliche "Join-User" hat
    nicht mehr das Recht, Computer hinzuzufügen, sondern nur noch diese 4
    Rechte.
     

    Greetings/Grüße, Martin

    Mal ein gutes Buch über GPOs lesen?
    Good or bad GPOs? - my blog…
    And if IT bothers me - coke bottle design refreshment (-:
    Mittwoch, 23. September 2015 08:32
  • Hallo und nochmal Danke für die Infos.

    Ich bin jetzt erst dazu gekommen mich wieder dem Thema anzunehmen. Sorry!

    Im Prinzip war es bereits so bei uns eingerichtet und hat auch funktioniert, wenn die Kollegen einen Rechner erneut in die Domäne aufgenommen haben und das Computerobjekt bereits in einer der OUs vorhanden war. Löscht man das Objekt oder versucht einen ganz neuen Rechner in die Domäne aufzunehmen, hat er kein Recht den Computer zur Domäne hinzuzufügen. Das funktioniert erst, wenn man dem Kollegen auf der OU Computers das Recht gibt Computer zur Domäne hinzuzufügen. Dieses Recht hat der Kollege auch auf den von uns angelegten OUs und es geht trotzdem nicht!
    Aus dem Blog von Yusuf (Danke) werde ich über die Hintergründe nicht ganz schlau. Kann mir das jemand kurz erklären und ist es nicht möglich das die Kollegen die keine Account Operatoren sind neue Computer in den jeweiligen OUs aufzunehmen, ohne das sie die Rechte auf dem Ordner Computers haben?

    Vielen Dank!

    Mittwoch, 9. Dezember 2015 11:55
  • Hi,
     
    Am 09.12.2015 um 12:55 schrieb Paulchen Panther:
    > Aus dem Blog von Yusuf (Danke) werde ich über die Hintergründe nicht
    > ganz schlau
     
    Vergiss die HIntergründe, kümmer dich um das "tun". Setz die Rechte für
    eine eigene Sicherheitsgruppe auf OU Ebene und trage dieselbe Gruppen
    für das Recht "Hinzufügen von Computern zur Domäne" ein.
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 9. Dezember 2015 12:08
  • Hallo Mark,

    das habe ich ja bereits getan. Aber ich glaube ich habe einen Denkfehler. Ganz neu angelegte Computerobjekte werden ja autom. immer in der Default Gruppe Computers angelegt und nicht in irgend einer OU. Woher soll er es auch wissen, denn beim Hinzufügen über den Client gebe ich ja keine OU an. Also muss man die Rechte immer auch auf OU Computers setzen. Richtig?

    Von daher muss man das Computerobjekt wohl stets händisch in die entsprechende OU verschieben.

    Danke

    P.S. Ich versuche gerne Dinge und deren Hintergründe zu verstehen und nicht einfach irgend etwas zu machen. ;)

    Mittwoch, 9. Dezember 2015 13:06
  • > Denkfehler. Ganz neu angelegte Computerobjekte werden ja autom. immer in
    > der Default Gruppe Computers angelegt und nicht in irgend einer OU.
     
    Nur wenn Du über die GUI joinst. Wenn Du "netdom join" verwendest,
    kannst Du eine OU angeben.
     
    Mittwoch, 9. Dezember 2015 13:11
  • Also bleibt mir wie geschrieben wirklich nur die Rechte auch auf OU Computers zu vergeben.

    Vielen Dank Martin!

    Mittwoch, 9. Dezember 2015 14:00
  • Am 09.12.2015 schrieb Paulchen Panther:
    HI,

    Also bleibt mir wie geschrieben wirklich nur die Rechte auch auf OU Computers zu vergeben.

    Das ist keine OU, sondern ein Container. ;) Ja, wenn du sie dort "rausschieben" willst, mußt du dort ebenfalls CC (create child) and DC (delete child) vergeben.

    Bye
    Norbert

    Mittwoch, 9. Dezember 2015 14:17
  • Sorry, hast Recht!

    Danke!

    Mittwoch, 9. Dezember 2015 15:25
  • Hi,
     
    Am 09.12.2015 um 14:06 schrieb Paulchen Panther:
    > Ganz neu angelegte Computerobjekte werden ja autom. immer in
    > der Default Gruppe Computers angelegt und nicht in irgend einer OU.
     
    Deswegen nimmt man ja net dom, oder installiert mit einer Antwortdatei,
    dann landen die System direkt dort, wo sie hinsollen.
     
    Oder, wenn es nur /eine/ andere OU wäre, könnte der Default Container
    Computers mit redircmp.exe auf die /eine/ andere geändert werden.
     
    > Also muss man die Rechte immer auch auf OU Computers
    > setzen. Richtig?
     
    Das ist richtig, wenn es nicht "wie oben" passiert.
     
    > Von daher muss man das Computerobjekt wohl stets händisch in die
    > entsprechende OU verschieben.
     
    Nein, das Computerkonto kann auch _vorher_ als leere Hülle erstellt
    werden (pre-staged)
     
    Tschö
    Mark
    --
    Mark Heitbrink - MVP Windows Server - Group Policy
     
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter
     
    Mittwoch, 9. Dezember 2015 16:02
  • Am 09.12.2015 um 14:06 schrieb Paulchen Panther:
    >> Ganz neu angelegte Computerobjekte werden ja autom. immer in
    >> der Default Gruppe Computers angelegt und nicht in irgend einer OU.
    >Deswegen nimmt man ja net dom, oder installiert mit einer Antwortdatei,

    >dann landen die System direkt dort, wo sie hinsollen.

    Erfolgt bei uns normalerweise ja auch über die Verteilsoftware. Hier ging es nur um Ausnahmefälle in denen man einen Computer manuell hinzufügen muss, aus welchem Grund auch immer.

    >Oder, wenn es nur /eine/ andere OU wäre, könnte der Default Container

    >Computers mit redircmp.exe auf die /eine/ andere geändert werden.

    Danke, das Tool kannte ich noch nicht.

    >> Von daher muss man das Computerobjekt wohl stets händisch in die
    >> entsprechende OU verschieben.
    >Nein, das Computerkonto kann auch _vorher_ als leere Hülle erstellt

    >werden (pre-staged)

    OK, ich meinte in meinem Fall.

    Vielen Dank für die Informationen!

    Donnerstag, 10. Dezember 2015 07:44