none
Berechtigung, Computer anlegen RRS feed

  • Frage

  • Hallo zusammen,

    wir haben einen User XY mit dem über MDT neue Computer in die Domain eingehängt werden. Bisher hatte dieser User zu viele Rechte. Da ein normaler User nur max. 10 Clients in die Domain joinen darf haben wird das ms-DS-MachineAccountQuota auf unlimited gesetzt (Clear Value). Alle Neuen Computer kommen in eine eigene OU. Dort ist der XY nur mit nachfolgende Rechte berechtigt. Was fehlt uns noch damit das Join Domain wieder geht?


    Chris


    • Bearbeitet -- Chris -- Montag, 23. September 2013 14:03
    Montag, 23. September 2013 13:57

Antworten

  • Hi, 

    wenn er das Recht in einer OU hat, ist das msds-machineaccountquota egal. Das "zählt" dann nicht mehr. Nutze den Assitenten, damit ist es einfacher.

    Siehe auch:

    http://blog.dikmenoglu.de/Clients+In+Die+Dom%C3%A4ne+Hinzuf%C3%BCgen.aspx

    Am einfachsten ist: Computer -> Generic All

    dsacls "ou=deineOU,dc=..." /i:s /G USERAccount:GA;;computer

    Auf das Minimum reduziert sind es 4 Attribute, die er editieren können muss/darf:

    Reset Password
    Validated write to DNS host name
    Validated write to service principal name
    Write Account Restrictions



    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert -- Chris -- Dienstag, 24. September 2013 07:03
    Montag, 23. September 2013 21:01

Alle Antworten

  • Schau mal hier:

    Error message when non-administrator users who have been delegated control try to join computers to a Windows Server 2003-based or a Windows Server 2008-based domain controller: "Access is denied"
    http://support.microsoft.com/kb/932455/en-us

    Creating a Computer Account Management Plan
    http://technet.microsoft.com/en-us/library/cc759374.aspx

    Weitere Informationen:

    How to allow specific users to add workstations to the domain
    http://networkadminkb.com/KB/a238/how-to-overcome-issues-related-to-specific-users-adding.aspx

    How to overcome issues related to specific users adding workstations to the domain
    http://networkadminkb.com/KB/a238/how-to-overcome-issues-related-to-specific-users-adding.aspx

    How to allow users to fully manage Computer objects in an OU
    http://networkadminkb.com/KB/a237/how-to-allow-users-to-fully-manage-computer-objects-in-an-ou.aspx

    How to allow users to move computer objects between OUs
    http://networkadminkb.com/KB/a235/how-to-allow-users-to-move-computer-objects-between-ous.aspx

    --

    Tobias Redelberger
    StarNET Services (HomeOffice)
    Frankfurter Allee 193
    D-10365 Berlin
    Tel: +49 (30) 86 87 02 678
    Mobil: +49 (163) 84 74 421
    Montag, 23. September 2013 15:13
  • Hi, 

    wenn er das Recht in einer OU hat, ist das msds-machineaccountquota egal. Das "zählt" dann nicht mehr. Nutze den Assitenten, damit ist es einfacher.

    Siehe auch:

    http://blog.dikmenoglu.de/Clients+In+Die+Dom%C3%A4ne+Hinzuf%C3%BCgen.aspx

    Am einfachsten ist: Computer -> Generic All

    dsacls "ou=deineOU,dc=..." /i:s /G USERAccount:GA;;computer

    Auf das Minimum reduziert sind es 4 Attribute, die er editieren können muss/darf:

    Reset Password
    Validated write to DNS host name
    Validated write to service principal name
    Write Account Restrictions



    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    • Als Antwort markiert -- Chris -- Dienstag, 24. September 2013 07:03
    Montag, 23. September 2013 21:01
  • Hallo Mark,

    danke für die ausführliche (sicher hilfreiche) Info. Ich hab's noch nicht getestet aber es sieht so aus als ob es genau das wäre was wir brauchen.

    hab gestern noch was herausgefunden, als ich deine INFO noch nicht hatte. Der User hatte gestern nur create u. delete computer objects.

    Wir haben vergessen, den PC aus der Domain zu löschen somit ging auch das JoinDomain nicht. Als ich dann den Computer aus der Domain gelöscht habe ging es. Vermutlich fehlte das reset password.

    zu den AD Attribut. Ich kann mir schon vorstellen dass man es braucht. Bisher war unsere User auch Domain Admin dann ging es. Als wir den Domain Admin entfernt haben, kann genau ein Hinweis zu den max. 10 Computer Objekten.

    Using ADSI Edit to set the ms-DS-MachineAccountQuota attribute

    The number of workstations a user can join to a domain is configured by the ms-DS-MachineAccountQuota attribute. Using the Active Directory Service Interfaces Editors (ADSI Edit) you can manage Active Directory objects and attributes.

    To run ADSI Edit on Windows Server 2003 or Windows XP machines, you'll need to install Windows Server 2003 Support Tools, which you'll find on the Windows Server 2003 CD or the Microsoft Download Center. If you're running Windows Server 2008, ADSI Edit is installed as part of the Active Directory Domain Services (AD DS) role, which makes the server a domain controller. You can also install the Remote Server Administration Tool (RSAT) on server that aren't domain controllers.  On machines running Windows Vista SP1 or Windows 7, you must install RSAT to use ADSI Edit.

    Once you have ADSI Edit installed, you can change the ms-DS-MachineAccountQuota attribute with the following steps:

    1. Click Start | Run | and enter adsiedit.msc.
    2. Expand the Domain node and locate the object that begins with "DC=" and contains the domain name of the domain your interested in.
    3. Right on the "DC=" object and click Properties.
    4. Locate the ms-DS-MachineAccountQuota attribute on the Attribute Editor tab and click Edit.
    5. On the Integer Attribute Editor dialog, enter the number of workstations you want users to be able to add. You can enter 0 to prevent users from joining any workstations to the domain or clear the value to remove the limit.
    6. Once you've entered the appropriate value, click OK to close the Integer Attribute Editor dialog box and OK again to close the Properties box.
    7. Close ADSI Edit.


    Chris

    Dienstag, 24. September 2013 05:59
  • Hallo Mark,

    der von dir beiliegende Artikel beantwortet alle Fragen. http://blog.dikmenoglu.de/Clients+In+Die+Dom%C3%A4ne+Hinzuf%C3%BCgen.aspx

    Danke


    Chris

    Dienstag, 24. September 2013 07:03
  • Gern geschehen. 

    Übrigens, "ja" es fehlte das Reset Password ;-)


    Tschö
    Mark Heitbrink - MVP Windows Server - Group Policy
    Homepage: www.gruppenrichtlinien.de - deutsch
    GPO Tool: www.reg2xml.com - Registry Export File Converter

    Dienstag, 24. September 2013 18:59