Out of the box is het zo dat een user account 10 computerobjecten mag aanmaken. Dat betekend dat een authenticated user 10 devices in het domein zou mogen opnemen. Het kan zijn dat dit te weinig voor je is, of misschien wel teveel. Misschien wil je dat een bepaalde user computerobjecten in het domein aanmaakt, bijvoorbeeld voor een VDI oplossing. Of misschien heb je helpdesk users of werkplekbeheerders die computers van de gebruikers toevoegen in het domein.
Om dit aan te passen zijn er diverse mogelijkheden;
1. Je past het aantal van 10 aan naar een lager of hoger getal, waarmee een authenticated user dus dit aantal domain joins mag uitvoeren.
2. Je maakt een groep aan met members die domain joins mogen uitvoeren en je haalt authenticated users weg.
3. Je geeft een groep met members create computer objects rechten op de computers ou.
1. Aanpassen van het standaard aantal:
– Open adsiedit.msc
– Kies voor de default naming context
– Klik met rechtermuisknop op het domein en kies voor properties
Zoek naar de waarde MS-DS-MachineAccountQuota en wijzig deze waarde naar het aantal domain joins wat jij wilt.
2. Authenticated users mogen geen domain joins meer doen, daar gebruiken we onze eigen groepen voor:
– Maak een groep aan met een logische naam, bijvoorbeeld DL_AD_DomainJoin
– Maak de users lid die je wilt gebruiken om computerobjecten toe te voegen. Ik kies in mijn lab voor administrator, maar in een productie omgeving kan dit bijvoorbeeld helpdeskusers, of werkplekbeheerders zijn:
– Ga nu naar Group Policy Management en bewerk de Default Domain Controllers Policy.
– Ga naar Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment
– Edit Add workstations to domain. Haal authenticated users hier weg en voeg DL_AD_DomainJoin toe. Voeg hier ook Domain Admins aan toe.
Het is goed om even te kijken naar de omschrijving van de policy, waarin veel wordt uitgelegd, ook voor de volgende mogelijkheid. Namelijk het aanpassen van de security op de computers OU. En als je even doorleest, dan heeft deze als voordeel dat je niet aan de limit van 10 domain joins zit.
Add workstations to domain
This security setting determines which groups or users can add workstations to a domain.
This security setting is valid only on domain controllers. By default, any authenticated user has this right and can create up to 10 computer accounts in the domain.
Adding a computer account to the domain allows the computer to participate in Active Directory-based networking. For example, adding a workstation to a domain enables that workstation to recognize accounts and groups that exist in Active Directory.
Default: Authenticated Users on domain controllers.
Note: Users who have the Create Computer Objects permission on the Active Directory computers container can also create computer accounts in the domain. The distinction is that users with permissions on the container are not restricted to the creation of only 10 computer accounts. In addition, computer accounts that are created by means of Add workstations to domain have Domain Administrators as the owner of the computer account, while computer accounts that are created by means of permissions on the computers container have the creator as the owner of the computer account. If a user has permissions on the container and also has the Add workstations to domain user right, the computer is added, based on the computer container permissions rather than on the user right.
3. Create computer objects rechten geven op de Computers OU
Standaard worden computer objecten bij een domain join in de Computers OU geplaatst. Hier zijn dus de rechten benodigd.
– Zet de advanced features view in Active Directory Users and Computers aan. Dit vind je onder tabblad View en dan klik je advanced features aan.
– Ga naar de properties van je computer OU en klik op tabblad Security
– Klik op Advanced
– Klik op add
– Klik op add principal bovenin
– Voeg DL_AD_DomainJoin (of de groep die je wilt toevoegen, welke rechten krijgt om computerobjecten te maken)
– Kies voor Create Computer objects en desgewenst op Delete Computer objects
– Klik op OK en apply om dit door te voeren.
Ik hoop dat het iets duidelijker is geworden wat de mogelijkheden zijn. Mochten er nog vragen zijn, dan mag je deze altijd stellen door te reageren of te mailen naar info@blonkit.nl