Windows AD

Rechtedelegation zur Computerintegration in eine Domäne

Um einem Nutzer oder einer Gruppe in einer Active Directory Domäne das Recht zu geben, Computer in die Domäne einzufügen, sind folgende Dinge einzurichten:

  1. der Nutzer/Gruppe muss das Recht “Create Computer Object”/”Computer erstellen” auf der entsprechenden OU (oder auf der gesamten Domäne) haben
    1. wird das Recht auf eine spezielle OU gesetzt, kann es erforderlich sein, dass das Computerobjekt erst explizit in der jeweiligen OU angelegt werden muss, bevor ein Hinzufügen eines Computers in die Domäne funktioniert
  2. ggf. ist auch das Recht “Delete Computer Object”/”Computer löschen” erforderlich
  3. “ms-DS-MachineAccountQuota” sollte auf einene höheren Wert gesetz oder zurückgesetzt werden
    1. dafür muss mittels ADSI Edit (adsiedit.msc) das Feld bearbeitet werden
    2. dazu ist im ADSI Edit der Bereich “Domäne” aufzuklappen
    3. Rechtsklick auf DC=yourdomain,DC=com und Eigenschaften auswählen
    4. bis zu dem Feld scrollen und anpassen

weiterführende Literatur:
Active Directory Delegation (Microsoft)
Active Directory Delegation Appendices (Microsoft)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert