Wie oft kann ein einfacher Benutzer einen Computer zur Windows-Domäne hinzufügen?

7

In einem Kurs über die Windows Server-Verwaltung, den ich an der Universität besucht habe, wurde uns mitgeteilt, dass ein normaler Benutzer einer Domäne 10 Computer hinzufügen könnte. Im Laufe der Jahre habe ich der Domäne jedoch ohne Probleme weit mehr als 10 Computer (einschließlich virtueller Maschinen) hinzugefügt und entfernt, während einige meiner Kollegen schwören, dass sie keine Computer hinzufügen können. Mein Konto ist in keiner Hinsicht privilegiert, ich bin nur ein normaler Benutzer wie alle anderen.

Also ... wie lauten die Regeln dafür? Können sie vom Administrator geändert werden? Gibt es eine Möglichkeit, dies mit meinen Berechtigungen auf Benutzerebene herauszufinden?

Nur neugierig. :) :)

permissions  active-directory 
Vilx-
quelle

Antworten:

6

Standardmäßig kann jeder authentifizierte Benutzer der Domäne bis zu 10 neue Computer hinzufügen.

Dies wird durch das Recht "Arbeitsstationen zur Domäne hinzufügen" gesteuert, das Sie in der Sicherheitsrichtlinie unter "Computerkonfiguration \ Windows-Einstellungen \ Sicherheitseinstellungen \ Lokale Richtlinien \ Zuweisung von Benutzerrechten \" finden.

Normalerweise wird dies vom Systemadministrator beim Erstellen der Domäne geändert, um dieses Recht auf eine bestimmte Gruppe zu beschränken, normalerweise "DOMAIN \ Administrators".

Ich kann nur raten, was in Ihrer Situation passiert, entweder:

  • Sie sind ein Domain-Administrator und wissen es nicht.
  • Ihre Umgebung hat eine benutzerdefinierte Gruppe für dieses Recht angegeben, und Sie befinden sich in dieser Gruppe.
  • An etwas anderes habe ich nicht gedacht. ;-);

Als Referenz sagt TechNet Folgendes zu " Hinzufügen von Arbeitsstationen zur Domäne ".

ThatGraemeGuy
quelle
Wow, ist das noch ungültig? Das ist so ziemlich das größte dumme Sicherheitsrisiko, das ich je gesehen habe.
TomTom
Es ist noch im Jahr 2003 da. Und ich würde sagen, dass das größere Risiko darin besteht, Leute, die AD nicht wirklich gut kennen, damit zu beauftragen, es aufrechtzuerhalten.
ThatGraemeGuy
Warten Sie, hmm ... bedeutet dies, dass ich das "Hinzufügen einer Workstation" nur 10 Mal ausführen kann oder dass ich jederzeit nur 10 Workstations hinzufügen kann, aber wenn ich einige entferne, kann ich weitere hinzufügen?
Vilx
Warte, warte, warte ... hat es kürzlich jemand getestet? Warum erhalte ich fünfzig UAC-Popups, wenn ich versuche, mein Antivirenprogramm zu aktualisieren, aber dies bedeutet, dass ich einer Domain, der ich angehöre (oder über generische Benutzerkonten für Personengruppen verfügt), jede unerwünschte VM oder jeden Laptop hinzufügen kann. ? Bin ich der einzige, der denken würde, dass dies ein wenig gegen das Prinzip mit den geringsten Privilegien für die Zuweisung von Rechten verstößt? Oder gibt es einen gültigen Grund, dies als Standard festzulegen?
Bart Silverstrim
Wie entsteht ein Sicherheitsrisiko? Ein Computer an sich hat keine weiteren Rechte in der Domäne, wenn er hinzugefügt wird. Es ist der angemeldete Benutzer, der Rechte in der Domäne hat. Nein?
Vilx
0

Um einen Computer zu einer Windows-Domäne hinzuzufügen, benötigt Ihre ID einige Berechtigungen:

Computerobjekte erstellen / ändern / Passwort ändern

und vielleicht ein oder zwei andere.

Überprüfen Sie Ihr Konto und Sie werden wahrscheinlich feststellen, dass diese Berechtigungen (oder mehr) irgendwo festgelegt sind.

Jon
quelle
1
Nein, alles, was Sie brauchen, ist das Hinzufügen von Workstations zur Domain, das standardmäßig authentifizierten Benutzern für bis zu 10 PCs zur Verfügung gestellt wird
Sam Cogan
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.