Berechtigung, Computer anlegen

Alle Antworten

• 

  

  0

  Anmelden

  Schau mal hier:

  Error message when non-administrator users who have been delegated control try to join computers to a Windows Server 2003-based or a Windows Server 2008-based domain controller: "Access is denied"
  http://support.microsoft.com/kb/932455/en-us

  Creating a Computer Account Management Plan
  http://technet.microsoft.com/en-us/library/cc759374.aspx

  Weitere Informationen:

  How to allow specific users to add workstations to the domain
  http://networkadminkb.com/KB/a238/how-to-overcome-issues-related-to-specific-users-adding.aspx

  How to overcome issues related to specific users adding workstations to the domain
  http://networkadminkb.com/KB/a238/how-to-overcome-issues-related-to-specific-users-adding.aspx

  How to allow users to fully manage Computer objects in an OU
  http://networkadminkb.com/KB/a237/how-to-allow-users-to-fully-manage-computer-objects-in-an-ou.aspx

  How to allow users to move computer objects between OUs
  http://networkadminkb.com/KB/a235/how-to-allow-users-to-move-computer-objects-between-ous.aspx

  --

  Tobias Redelberger

  StarNET Services (HomeOffice)

  Frankfurter Allee 193

  D-10365 Berlin

  Tel: +49 (30) 86 87 02 678

  Mobil: +49 (163) 84 74 421

  Email: T.Redelberger@starnet-services.net

  Web: http://www.starnet-services.net

  • Bearbeitet Tobias Redelberger Montag, 23. September 2013 15:15
  • Als Antwort vorgeschlagen Tobias Redelberger Mittwoch, 25. September 2013 09:14

  Montag, 23. September 2013 15:13

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hi, 

  wenn er das Recht in einer OU hat, ist das msds-machineaccountquota egal. Das "zählt" dann nicht mehr. Nutze den Assitenten, damit ist es einfacher.

  Siehe auch:

  http://blog.dikmenoglu.de/Clients+In+Die+Dom%C3%A4ne+Hinzuf%C3%BCgen.aspx

  Am einfachsten ist: Computer -> Generic All

  dsacls "ou=deineOU,dc=..." /i:s /G USERAccount:GA;;computer

  Auf das Minimum reduziert sind es 4 Attribute, die er editieren können muss/darf:

  Reset Password
  Validated write to DNS host name
  Validated write to service principal name
  Write Account Restrictions

  
  

  ---

  Tschö
  Mark Heitbrink - MVP Windows Server - Group Policy
  Homepage: www.gruppenrichtlinien.de - deutsch
  GPO Tool: www.reg2xml.com - Registry Export File Converter
  

  • Als Antwort markiert -- Chris -- Dienstag, 24. September 2013 07:03

  Montag, 23. September 2013 21:01

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark,

  danke für die ausführliche (sicher hilfreiche) Info. Ich hab's noch nicht getestet aber es sieht so aus als ob es genau das wäre was wir brauchen.

  hab gestern noch was herausgefunden, als ich deine INFO noch nicht hatte. Der User hatte gestern nur create u. delete computer objects.

  Wir haben vergessen, den PC aus der Domain zu löschen somit ging auch das JoinDomain nicht. Als ich dann den Computer aus der Domain gelöscht habe ging es. Vermutlich fehlte das reset password.

  

  zu den AD Attribut. Ich kann mir schon vorstellen dass man es braucht. Bisher war unsere User auch Domain Admin dann ging es. Als wir den Domain Admin entfernt haben, kann genau ein Hinweis zu den max. 10 Computer Objekten.

  Using ADSI Edit to set the ms-DS-MachineAccountQuota attribute

  The number of workstations a user can join to a domain is configured by the ms-DS-MachineAccountQuota attribute. Using the Active Directory Service Interfaces Editors (ADSI Edit) you can manage Active Directory objects and attributes.

  To run ADSI Edit on Windows Server 2003 or Windows XP machines, you'll need to install Windows Server 2003 Support Tools, which you'll find on the Windows Server 2003 CD or the Microsoft Download Center. If you're running Windows Server 2008, ADSI Edit is installed as part of the Active Directory Domain Services (AD DS) role, which makes the server a domain controller. You can also install the Remote Server Administration Tool (RSAT) on server that aren't domain controllers.  On machines running Windows Vista SP1 or Windows 7, you must install RSAT to use ADSI Edit.

  Once you have ADSI Edit installed, you can change the ms-DS-MachineAccountQuota attribute with the following steps:

  1. Click Start | Run | and enter adsiedit.msc.
  2. Expand the Domain node and locate the object that begins with "DC=" and contains the domain name of the domain your interested in.
  3. Right on the "DC=" object and click Properties.
  4. Locate the ms-DS-MachineAccountQuota attribute on the Attribute Editor tab and click Edit.
  5. On the Integer Attribute Editor dialog, enter the number of workstations you want users to be able to add. You can enter 0 to prevent users from joining any workstations to the domain or clear the value to remove the limit.
  6. Once you've entered the appropriate value, click OK to close the Integer Attribute Editor dialog box and OK again to close the Properties box.
  7. Close ADSI Edit.

  ---

  Chris

  Dienstag, 24. September 2013 05:59

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark,

  der von dir beiliegende Artikel beantwortet alle Fragen. http://blog.dikmenoglu.de/Clients+In+Die+Dom%C3%A4ne+Hinzuf%C3%BCgen.aspx

  Danke

  ---

  Chris

  Dienstag, 24. September 2013 07:03

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Gern geschehen. 

  Übrigens, "ja" es fehlte das Reset Password ;-)

  ---

  Tschö
  Mark Heitbrink - MVP Windows Server - Group Policy
  Homepage: www.gruppenrichtlinien.de - deutsch
  GPO Tool: www.reg2xml.com - Registry Export File Converter
  

  Dienstag, 24. September 2013 18:59

  Antworten

  |

  Zitieren