Neulich wurde ich gefragt wie es denn Möglich sei Benutzer (Domänen-Benutzer) daran zu hindern Computer in die AD aufzunehmen.
Für alle die es nicht wissen:
- Jeder Domänen-Benutzer kann bis zu 10 Computer dem AD hinzufügen
- Computerkonten werden automaisch im Container „Computers“ hinterlegt (Bild 1)
- Das zuständige Attribut ist ms-DS-MachineAccountQuota
- Der Wert kann über den ADSI-Editor geändert werden
- Konfiguration in DDCP (Default Domain Controllers Policy) möglich
Zunächst einmal gehe ich her und lenke den Ort für neue Computerkonten auf eine OU um. Dazu verwende ich nicht die Power Shell sondern die „gute alte“ CMD :) Umlenken will ich CN=Computers zu der OU=New_AD_Computer. Wichtig ist die Angabe des vollständigen DN der Ziel-OU. Zudem muss DFL (Domain Functional Level) mindesten Windows Server 2003 sein.
- CMD öffnen
-
redircmp "ou=New_AD_Computer,ou=Sichel IT,dc=sichel,dc=loc"
- „Umleitung Erfolgreich“ erscheint in der CMD (Bild 2)
Diese Schritte sind für das eigentliche Ziel nicht erforderlich, allerdings führe ich den Befehl an der Stelle gerne aus, da es ja um Computerkonten geht.
Schauen wir uns das Eigentliche Thema an. Um mein Ziel zu erreichen gibt es mehrere Wege, zum einen über den ADSI-Editor (Active Directory Service Interface), zum anderem über die Gruppenrichtlinienverwaltung.
Weg 1 – ADSI-Editor
- Den ADSI-Editor öffnen
- Verbindung herstellen –> Standard so belassen und mit OK bestätigen (Bild 3)
- Via rechtsklick in die Eigenschaften der Domäne wechseln (Bild 4)
- Im folgenden Fenster den Wert „ms-DS-MachineAccountQuota“ suchen (Bild 5)
- Den Wert von 10 auf 0 setzen und mit OK und Übernehmen bestätigen (Bild 6)
- Fertig
Dieser einfache Weg führt dazu das kein Benutzer mehr Computer der Domäne hinzufügen kann. Bild 7 zeigt das ein Domänen-Benutzer angegeben worden ist, und Bild 8 die entsprechende Fehlermeldung. Mit dem Administrator hingegen funktioniert es natürlich sofort, Bild 9.
Weg 2- Gruppenrichtlinien
- Gruppenrichtlinienverwaltungskonsole öffnen
- Default Domain Controllers Policy bearbeiten
- Computerkonfiguration –> Richtlinien –> Windows-Einstellungen –> Sicherheitseinstellungen –> Lokale Richtlinien –> Zuweisen von Benutzerrrechten
- Den Wert „Hinzufügen von Arbeitsstationen zur Domäne“ suchen
- Gewünschte Benutzergruppen hinzufügen / entfernen (Bild 10)
- Fertig
Auf welchem Weg man nun letztlich das Ziel erreicht spielt keine Rolle. Bei der GPO kann natürlich nochmal gefiltert werden um bspw. Help Desk Benutzer zu berechtigen.
Wird der Client mit einem Administrativen Account der Domäne hinzugefügt, so wird das Computerkonto in der entsprechen OU abgelegt und nicht mehr im Container Computers. (Bild 11)
Das war ein kleiner Ausflug in die AD-Welt. An meinem Artikel für die Exchange 2013 SP1 Authentifizierung mit AD FS feile ich noch…
Pauschal für alle per Powershell geht es mit folgendem Befehl:
Set-ADDomain Fabrikam.com -Replace @{„ms-ds-MachineAccountQuota“=“2“}