Active Directory | Domänenbeitritt von Computern durch Benutzer verhindern

Standardmäßig dürfen nicht nur Administratoren sondern auch reguläre Domänenbenutzer Computer in die Domäne aufnehmen. Normale Benutzer dürfen zwar nur maximal 10 Computer zu einer Domäne hinzufügen, dies birgt dennoch das Risiko dass ungewollt private Notebooks in die Domäne aufgenommen werden.

Um den Domain Join durch normale Benutzer vollständig zu unterbinden gibt es 2 unterschiedliche Möglichkeiten:

1)    Anpassen der „Default Domain Controllers Policy“
–    Gruppenrichtlinienverwaltung auf einem Domänen Controller öffnen (Start | Ausführen | gpedit.msc | [ENTER] oder Start | Verwaltung | Gruppenrichtlinienverwaltung)
–    Unterhalb von Gesamtstruktur | Domänen | Domäne | Domain Controllers: Default Domain Controllers Policy > Rechtsklick > Bearbeiten…
–    Innerhalb des Gruppenrichtlinienverwaltungs-Editors: Computerkonfiguration | Richtlinien | Windows Einstellungen | Sicherheitseinstellungen| Lokale Richtlinien | Zuweisen von
Benutzerrechten
–    Unterpunkt „Hinzufügen von Arbeitsstationen zur Domäne“  | Rechtsklick > Eigenschaften
–    Standardmäßig sind hier „Authentifizierte Benutzer“ ausgewählt (darin enthalten sind sämtliche Domänenbenutzer)
–    Auswählen „Authentifizierte Benutzer“ | Entfernen
–    „Benutzer oder Gruppe hinzufügen…“ | Eingeben „Administratoren“ | OK | OK | Fertig

2)    Anpassen von „ms-DS-MachineAccountQuota“
–    ADSI-Editor auf einem Domänen Controller öffnen (Start | Auführen | adsiedit.msc | [ENTER]
oder Start | Verwaltung | ADSI-Editor)
Hinweis: ADSI-Editor muss u.U. unter Windows 2000 und 2003 nachinstalliert werden
–    Ggf. Verbindung zu „Standardmäßiger Namenskontext“ aufbauen (Rechtsklick ADSI-Editor > Verbindung herstellen… | unter „Bekannten Namenskontext auswählen“ auswählen:
„Standardmäßiger Namenskontext“ | OK)

–    „Standardmäßiger Namenskontext [server-FQDN) über + erweitern
–    Auf Domänenebene (z.B. DC=contoso,DC=com) Eigenschaften öffnen
–    Im Attribut-Editor runterscrollen bis „ms-DS-MachineAccountQuota“
–    „ms-DS-MachineAccountQuota“ auswählen | Bearbeiten | gewünschten Wert eintragen | OK | OK | Fertig
Hinweis: der angegebene Wert gibt die maximal zulässige Anzahl an Computerkonten an, die
ein normaler User zur Domäne hinzufügen darf;
0 = kein einziges Computerkonto
1= ein Computerkonto
10 = 10 Computerkonten
usw.

Zusätzlich sicher stellen dass ein User keine besonderen „Computer-Objekte erstellen“- Rechte auf dem Container / der OU besitzt, dem / der Computerkonten standardmäßig hinzugefügt werden.
–    Auf einem Domänen Controller „Active Directory-Benutzer und –Computer“ öffnen (Start | Ausführen | dsa.msc | [ENTER] oder Start | Verwaltung | Active Directory-Benutzer und
–Computer)
–    Ansicht | Erweiterte Features
–    Unterhalb der Domäne den Container / die OU auswählen dem / der standardmäßig neue Computerobjekte hinzugefügt werden (normalerweise der Container „Computers“)
–    Eigenschaften | Sicherheit
–    Ist unter „Gruppen- und Benutzernamen“ ein spezieller Benutzer bzw. eine Gruppe hinzugefügt worden: Benutzer / Gruppe auswählen | Erweitert | Benutzer / Gruppe auswählen
(Standardberechtigung an dieser Stelle: Lesen)| Bearbeiten | ggf. Haken bei „Computer-Objekte erstellen“ entfernen

Microsoft KB 243327

Social tagging: > >

Schreibe einen Kommentar


+ sechs = 10

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.