SID-500

Home » Security » Active Directory: Wer darf Computer zur Domäne hinzufügen?

Active Directory: Wer darf Computer zur Domäne hinzufügen?

“Nur Domänen-Administratoren können Computer zur Domäne hinzufügen.” Den Satz habe ich schon oft gehört. Aber: Bei der Installation einer neuen Domäne wird ein Counter eingerichtet, welcher einem Domänen-Benutzer erlaubt, bis zu 10 Computer zur Domäne hinzuzufügen. Das ist die Standardeinstellung. Die Einstellung kann geändert werden und muss auf jeden Fall im IT-Sicherheitskonzept berücksichtigt werden.

Die Einstellung findet man in dsa.msc (erweiterte Features aktivieren!) unter den Eigenschaften der Domäne im Attribut Editor (unter Ansicht alles anzeigen lassen). Der Standardwert ist 10.

bild1

Möchte ich das ms-DS-MachineAccountQuota ändern, so kann ich das hier grafisch tun. Ein Wert 0 bedeutet, dass keiner der Domänen-Benutzer berechtigt ist einen Computer zur Domäne hinzuzufügen. Wer lieber in der Befehlszeile arbeitet hier der PowerShell Befehl (Änderung auf maximal 2 Computer).

Set-ADDomain pagr.com -Replace @{"ms-ds-MachineAccountQuota"="2"}

Der Benutzer wird informiert, dass die maximale Anzahl erreicht wurde.

Unbenannt.JPG

Wie man Computer zur Domäne hinzufügt habe ich im Artikel Step-by-Step: Computer zu einer Active Directory Domäne hinzufügen beschrieben.


2 Comments

  1. […] des Domänen-Administrators eingeben. Das ist aber nicht zwingend nötig, wie ich schon im Artikel Active Directory: Wer darf Computer zur Domäne hinzufügen? beschrieben […]

    Like

  2. […] Note: By default, every Domain User is allowed to join up to 10 computers to the domain. See also my German article “Who is allowed to join computers to the domain”: Active Directory: Wer darf Computer zur Domäne hinzufügen? […]

    Like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

WHOIS

My name is Patrick Grünauer (pewa2303). I am from Austria. On sid-500 I write about Windows, Cisco and IT-Security in English and German. Have fun while reading!

Patrick Gruenauer
Follow SID-500 on WordPress.com