none
Права на создание объекта компьютера при вводе в домен RRS feed

  • Вопрос

  • Добрый день.

    При попытке присоединить комп к домену появляется ошибка "Существующая учетная запись было изначально создана с использованием других учетных данных. Либо используйте другое имя компьютера, либо попросите администратора удалить устаревшие конфликтующие значения. Ошибка: Отказано в доступе "

    От коллег удалось выяснить что работавшие ранее подрядчики что-то настроили таким образом, чтобы все компы нужно было создавать вручную и не загрязнять OU Computers. Сейчас выяснилось что из-за этой настройки нет возможности стандартным способом вывести из использования контроллер домена.

    Ввод пытаюсь выполнить под доменным админом. Если в любой OU предварительно создать вручную объект с тем же именем, то ввод в домен проходит без проблем. Права на Computers есть все, кроме Full control. View Effective Access по моей админской учетке показывает что ограничений нет.

    Подскажите где еще могут настраиваться эти ограничения? В какую сторону копать?

    19 июня 2019 г. 7:52

Ответы

  • Был изменен дефолтный контейнер для компьютеров. Посмотреть это можно командой

    Get-ADObject (Get-ADRootDSE).DefaultNamingContext -Properties wellKnownObjects 

    На контейнере, который сейчас используется по умолчанию, как раз выставлен Deny на создание для группы Everyone.

    Теперь осталось только придумать как с такой системой выводить контроллеры домена без /forceremoval.

    _UPD_

    В свойствах безопасности контейнера поменял запрет на создание с группы Everyone на Domain Users. И оставил полный доступ для администраторов домена. Теперь получается вводить компьютеры в домен и демонтирование контроллера домена происходит успешно.

    • Изменено Валера2 19 июня 2019 г. 10:07
    • Помечено в качестве ответа Валера2 19 июня 2019 г. 10:14
    19 июня 2019 г. 9:12

Все ответы

  • Здравствуйте. Где-то в доменной политике наверно. Скорей всего можно продиагностировать изменения через rsop.msc
    19 июня 2019 г. 7:55
  • В результирующей политике тоже ничего связанного с OU Computers не увидел.

    Ограничение точно связано именно с этим контейнером, потому что если вводить комп в домен с указанием OU, то все проходит без ошибок.

    Add-Computer -DomainName "Domain02" -OUPath"OU=testOU,DC=domain,DC=Domain,DC=com"


    19 июня 2019 г. 8:15
  • Был изменен дефолтный контейнер для компьютеров. Посмотреть это можно командой

    Get-ADObject (Get-ADRootDSE).DefaultNamingContext -Properties wellKnownObjects 

    На контейнере, который сейчас используется по умолчанию, как раз выставлен Deny на создание для группы Everyone.

    Теперь осталось только придумать как с такой системой выводить контроллеры домена без /forceremoval.

    _UPD_

    В свойствах безопасности контейнера поменял запрет на создание с группы Everyone на Domain Users. И оставил полный доступ для администраторов домена. Теперь получается вводить компьютеры в домен и демонтирование контроллера домена происходит успешно.

    • Изменено Валера2 19 июня 2019 г. 10:07
    • Помечено в качестве ответа Валера2 19 июня 2019 г. 10:14
    19 июня 2019 г. 9:12
  • От коллег удалось выяснить что работавшие ранее подрядчики что-то настроили таким образом, чтобы все компы нужно было создавать вручную и не загрязнять OU Computers. Сейчас выяснилось что из-за этой настройки нет возможности стандартным способом вывести из использования контроллер домена.

    Намудрили подрядчики что-то. Это нужно было чтобы никто из пользователей не мог самостоятельно ввести комп в домен? Если так, то это решается через политику.

    в политике контроллеров домена выбираем пункт "Security Settings->Local Policies->User Rights Assignment->Add workstations to domain" Удаляем ненужных, добавляем, например, Enterprise Admins или Domain Admins (ну или кого самим нужно) и жмём ОК. Всё, теперь только указанные пользователи смогут ввести машину в домен.

    Собственно, это первое, что нужно делать при создании нового домена.


    Не игнорируйте встроенную справку, читайте ее и большинство вопросов будет решено гораздо быстрее.

    20 июня 2019 г. 11:29