Umleitung von Benutzer und Computer Objekten

09.01.2013 | Autor: Mark Heitbrink

Wenn neue Benutzer oder Computer Accounts mit Commandline Tools erstellt werden, werden dies automatisch in den vordefinierten Containern USERS und COMPUTERS erstellt. Computer die manuell in das AD integriert werden landen ebenfalls in dem Container COMPUTERS. Nur mit einer Unattended Installation und der Antwortdatei kann schon beim Beitritt zum AD die OU ausgewählt werden.
Das große Problem daran ist dass man auf Containern im Gegensatz zu Organizational Units keine Gruppenrichtlinien erstellen kann und damit u.U. Rechner im AD nicht dem richtigen, bzw. sogar gar keinem Regelwerk unterliegen.

Da Microsoft davon ausgeht, daß kleine Firmen die Rechte nicht aktiv delegiert haben, sondern ein paar Dinge als "gegeben" erwarten, darf JEDER Benutzeraccount einer Domäne per Design bis zu 10 Computerkonten in das AD hinzufügen. Dafür benötigt er keine Domänen Administrator Rechte. Das kann auch der Student, der bei euch durch die Gegend läuft und die Rechner installiert. Grundsätzlich ist das eine nette Idee, aber ich will das private Notebook auf dem der User als Administrator angemeldet ist, ist nicht in meinem AD ... denn das ist die Kehrseite der Medallie.

Wo versteckt sich dieser Zähler?

  • ADSI Edit (adsiedit.msc) aufrufen und Domain NC auswählen
  • Rechter Mausklick: Properties
  • Im Atrribute Editor ms-ds-MachineAccountQuota auswählen
  • Mit Edit auf einen beliebigen Wert setzen, z.B.: 0

Oder gleich per GPO in der Default Domain Controllers Policy:
...\Zuweisen von Benutzerrechten\Hinzufügen von Arbeitsstationen zur Domäne

-> Austauch der Authentifizierten Benutzer gegen eure Gruppe, die das tatsächlich darf.

Wenn ihr mit der Delegation im AD arbeitet und einer Gruppe das Recht "Computerobjekte erstellen" in einer OU oder auf dem Container COMPUTERS gegeben habt, dann trifft für diese Gruppe der Zähler "10" oder auch "0" nicht zu. Sie haben das Recht und damit dürfen sie so viele Objekte dieser Art erstellen wie sie wollen.

Das wäre nur ein sehr schwarz gemalter Fall, ich habe aber 2 weitere Szenarien für die eine Umleitung des Standard Containers speziell für Computer sinnvoll sein können: 

  1. Man hat ein AD in dem grundsätzlich alle per Hand erstellten Benutzer und Computer in einer einzigen OU landen (Small Business ;-)
  2. Ihr habt Kollegen, die immer wieder vergessen, die Computer in die richtige OU zu verschieben und sich dann wundern, das bestimmte Dinge nicht funktionieren.

Todo: Nutzen wir den erzieherischen Effekt, der Umleitung

  • Wir erstellen eine neue OU: "to-be-moved"
  • Wir erstellen eine neue Richtlinie "Shutdown" und verlinken sie an die OU "to-be-moved" -> darin definieren wir als Computer Startup Script : shutdown.exe mit dem Parametern '-R -T 30 -C "Computer  verschieben!"'
shutdown.exe -R -T 30 -C "Computer verschieben!"

 

Jetzt startet der Rechner immer wieder neu, bis er in der richtigen OU gelandet ist ;-) Das hilft auch bei nicht erlaubten Integrationen in das AD :-P

Bevor die Umleitung überhaupt durchgeführt werden kann muss die Domäne mindesten im Windows 2003 Modus laufen, da der Befehl sonst mit folgender Fehlermeldung quittiert:

 

Zugriff verweigert
Umleitung NICHT erfolgreich

 

Umleitung USER Container in der CMD, ab 2008 mit Erhöhten Rechten:

 

redirusr.exe OU=NeueZielOU,DC=derDomainName,DC=Endung

 

Umleitung COMPUTER Container:

 

redircmp OU=NeueZielOU,DC=derDomainName,DC=Endung