normale User können Computer in Domäne joinen

22/02/2008 - 16:35 von Björn | Report spam
Hallo NG!!

Ich habe folgendes durch Zufall festgestellt, was ich mir schwer
erklàren kann:

Und zwar ist es normalen Usern möglich, Rechner in die Domàne zu nehmen.
Das ist natürlich kaum Sinn und Zweck.
Die Domàne ist WIN2003-Struktur, 4DCs, 2 externe Trusts.

Ich habe mal die Berechtigungen mit ADSIEDIT auf "CN=Computers" in der
Domàne geprüft und konnte eigtl. keine Auffàlligkeiten feststellen.

Mit meinem Testuser, der erfolgreich einen Computer gejoint hat, habe
ich folgende Rechte unter "effektive Berechtigungen":

Inhalt auflisten
Alle Eigenschaften lesen
Berechtigungen lesen
+ diverse Attribute immer nur lesen.

Kontenoperatoren können neben den Domain-Admins zB Computer erstellen,
allerdings haeb ich die gruppe Konten-Operatoren nicht gefunden, um mal
deren Mitgliedschaften zu checken.
Bei dem entsprechenden User ist allerings keine derartige mitgliedschaft
zu sehen.

Für einen Tipp wàre ich sehr dankbar, es sollte ja normalerweise so
sein, dass nur Domain-Admins Rechner zu einer Domàne hinzufügen können.

Vielen Dank!!!
 

Lesen sie die antworten

#1 Yusuf Dikmenoglu [MVP]
22/02/2008 - 17:04 | Warnen spam
Servus,

"Björn" schrieb:
Und zwar ist es normalen Usern möglich, Rechner in die Domàne zu nehmen.



das ist bereits seit NT so!
Authentífizierte Benutzer können standardmàßig bis zu 10 Arbeitsstations
zur Domàne hinzufügen. Wie man das abstellen kann, erfàhrst du aus
diesem Artikel:

[Yusuf`s Directory - Blog - Clients in die Domàne hinzufügen]
http://blog.dikmenoglu.de/PermaLink...6917b.aspx


Für einen Tipp wàre ich sehr dankbar, es sollte ja normalerweise so sein,
dass nur Domain-Admins Rechner zu einer Domàne hinzufügen können.



Wie gesagt, dass ist "by Design" so.

Regards from Mainz/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de

Ähnliche fragen