User / Gruppe Rechte ertreilen um PC's in die Domäne aufzunehmen

[Labtexc]

Hallo,

hab ne kleine Frage - hab eig. gedacht das Thema geht schnell über die Bühne, ist aber anscheinend "schwerer als gedacht".

Ich will einem User (Gruppe) die Rechte geben, Computer in die Domäne aufzunehmen, nicht mehr nicht weniger

Mein Vorgehen war: AD User und Computer öffnen, Ansicht -> erweiterte Features, Rechtsklick auf die Domäne, Objektverwaltung zuweißen.

User auswählen, Hacken bei "Fügt einen Computer einer Domäne hinzu" und weiter ...

Hat man das durch, bekomkmt der User Zugriff auf "Computer" unter AD User & Computer und darf dort laut Anzeige "Cumputer-Objekte erstellen".

So, soweit so gut - allerdings klappt das nicht.

Hab ich was vergessen? :confused:

Danke für die Hilfe.

[die kriese]

moin moin,

und was ist mit den clients? der benutzer benötigt dort ebenso rechte. er muss die von workgroup in die domäne heben können.

[Labtexc]

Jo klar - getestet hab ich als Lokaler Administrator auf dem Laptop.

[da_doni]

Poste mal bitte die Fehlermeldung. Prüfe auch mal bitte die effektiven Berechtigungen des Users, mit dem du den PC zur Domain hinzufügen möchtest.

[Labtexc]

Hallo,

danke für die Antwort.

Fehlermeldung müsste (aus dem Kopf) sein: "Zugriff verweigert!".

Das mit den Berechtigungen überprüfe ich die Woche nochmal genauer wenn ich dazu komme.

Aber wie gesagt: Der User / die Gruppe bekommt auf die komplette Domäne die spezielle Berechtigung "Computer-Objekte erstellen", nachdem ich den Vorgang wie in Post 1 beschrieben durchgegangen bin.

Nachschauen kann ich dass dann mit: Rechtsklick -> Eigenschaften -> Sicherheit -> dann auf den User, unten Erweitert klicken, dann halt durch klicken und dann hat er als einzigen Hacken bei den Speziellen Berechtigungen den bei "Computer-Objekte erstellen".

Grüße

Bearbeitet 29. September 2012 von Labtexc

[pantsoff]

Ist das eine 2003 oder 2008 Domäne?

Normalerweise darf doch jeder authentifizierte Benutzer bis zu 10 Clients zu einer Domäne hinzufügen.

Prüfe mal folgende Einstellung in der DefaultDomainPolicy: Computerkonfig->Richtlinien->Windows Einstellungen->Sicherheitseinstellungen->lokale Richtlinien->Zuweisen von Benutzerrechten

Dort den Punkt "Hinzufügen von Computern zur Domäne" oder so ähnlich.

[Labtexc]

Wenn man die Default Policy Benützt dürfen das User, das stimmt - ist aber bei uns nicht der Fall.

Ist eine 2008er.

[Tiro]

Prüfe mal folgende Einstellung in der DefaultDomainPolicy: Computerkonfig->Richtlinien->Windows Einstellungen->Sicherheitseinstellungen->lokale Richtlinien->Zuweisen von Benutzerrechten

Die Standardeinstellung ist auch unter Windows Server 2012 so.

Das sollte eher die Default DomainController Policy sein.

Das Problem ist hierbei, daß man die Anzahl der hinzuzufügenden Computer auch erhöhen per GPO erhöhen muß, sonst ist ab 10 Computer "Schluß".

Der bessere Weg ist hier schon "Delegation of Control" (keine Ahnung, wie das auf Deutsch heißt: "Objektverwaltung zuweisen"?).

Den Link kennst Du schon?

[computerjan]

Bei uns in der Firma wurde das über den ADSI-Editor gemacht. Ich als Azubi habe noch nicht die vollen Domänen-Admin-Rechte. Allerdings musste ich öfters mehrere PC´s aufsetzen und die in die Domäne heben. Unsere AD-Expertin hat mir dann Schreibrechte auf der "Computers"-OU gegeben, wo die neuen Rechner reinkommen