Umleitung von Benutzer und Computer Container unter Windows 2003

… wenn jemand ein Lösung für Windows 2000 hat, würde ich sie gerne veröffentlichen.

 

 

Wenn neue Benutzer oder Computer Accounts mit Commandline Tools erstellt werden, werden dies automatisch in den vordefinierten Containern USERS und COMPUTERS erstellt. Das Problem daran ist dass man auf Containern im Gegensatz zu Organizational Units keine Gruppenrichtlinien erstellen kann.

 

Deswegen kann es zu folgenden Szenario kommen:

·   Ein Benutzeraccount einer Domäne ist per Default berechtigt bis zu 10 Computerkonten im AD anzulegen

Info:

o        Änderung wäre wie folgt möglich:

§         Aus den W2K Support Tools ADSI Edit aufrufen und Domain NC auswählen

§         Rechter Mausklick: Properties

§         Im Atrribute Editor MS-DS-MachineAccountQuota auswählen

§         Mit Edit auf einen beliebigen Wert setzen

 

 

·   Jetzt bringt der Benutzer sein Notebook von zuhause mit und hängt ihn mit in die Domäne, denn auf seinem Notebook hat er Administrative Rechte und kann da machen was er will.

·   Der Computer ist jetzt Mitglied in der Domäne, aber es wirken keinerlei Restriktionen auf dem Computer-Objekt, da i.d.R auf der Default Domain Policy Ebene keine weiteren Richtlinien erstellt sind, außer der Kennwortrichtlinien.

·   Damit hat er Zugriff auf alle Server und kann seinen AD Benutzer Account Lokal an seinem System zum Administrator machen …

·   Glückwunsch. Dann hätte man auch Windows 9x einsetzen können

 

Das wäre nur ein sehr schwarz gemalter Fall, aber ein weiteres sinnvolles Szenario kann sich durch die Umleitung der Standard Container ergeben.

·   Man hat ein AD in dem grundsätzlich alle per Hand erstellten Benutzer und Computer in einer eigenen OU landen

·   Die Konten für Benutzer werden per Script erstellt (z.B.: per net user … /add) und die Computerkonten werden einfach per GUI am Client oder bei der Installation per Antwortdatei ins AD integriert, wobei in dieser schon die Ziel OU angegeben werden könnte.

·   Jetzt landen alle Benutzer und Computer immer im BuiltIn Container und müssen per Hand verschoben werden

 

Das stellt an sich kein Problem dar ist aber ein unnötiger Aufwand der über einen einfachen Eingriff am Windows 2003 Server geändert werden kann.

 

 

Wichtig: Bevor die Umleitung überhaupt durchgeführt werden kann muss die Domäne im einheitlichen Modus für Windows 2003 laufen. Sollte die Domäne noch im gemischten Modus sein, wird der Befehl mit folgender Fehlermeldung quittiert:

 

Zugriff verweigert

Umleitung NICHT erfolgreich

 

 

Umleitung USER Container:

 

·   öffnen der CMD und Wechsel in das Verzeichnis %systemroot%\system32
=> REDIRUSR OU=NeueZielOU,DC=derDomainName,DC=Endung

 

 

Umleitung COMPUTER Container:

 

·   öffnen der CMD und Wechsel in das Verzeichnis %systemroot%\system32
=> REDIRCMP OU=NeueZielOU,DC=derDomainName,DC=Endung

 

Für Windows 2000 AD ist mir leider kein offizieller Weg bekannt. Wenn jemand eine gestestete adsiedit oder Script-Lösung hat, würde ich diese gerne wie schon oben erwähnt veröffentlichen.



(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright