Hinzufügen von Arbeitsstationen zur Domäne
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Hinzufügen von Arbeitsstationen zur Domäne beschrieben.
Referenzen
Mit dieser Richtlinieneinstellung legen Sie fest, welche Benutzer ein Gerät einer bestimmten Domäne hinzufügen können. Damit die Richtlinie wirksam wird, muss sie so zugewiesen werden, dass sie für mindestens einen Domänencontroller gilt. Ein Benutzer, dem dieses Benutzerrecht zugewiesen wird, kann der Domäne bis zu zehn Arbeitsstationen hinzufügen.
Indem Sie der Domäne ein Computerkonto hinzufügen, kann das Gerät in Active Directory-basierten Netzwerken verwendet werden.
Konstante: SeMachineAccountPrivilege
Mögliche Werte
Benutzerdefinierte Liste von Konten
Nicht definiert
Bewährte Methoden
- Konfigurieren Sie diese Einstellung so, dass nur autorisierte Mitglieder des IT-Teams der Domäne Geräte hinzufügen dürfen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Zuweisen von Benutzerrechten\
Standardwerte
Standardmäßig ermöglicht diese Einstellung authentifizierten Benutzern den Zugriff auf Domänencontroller und ist nicht auf eigenständigen Servern definiert.
In der folgenden Tabelle sind die tatsächlichen und effektiven Richtlinienstandardwerte für die neuesten unterstützten Windows-Versionen aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Authentifizierte Benutzer |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
Benutzer können einen Computer auch einer Domäne hinzufügen, wenn sie zum Erstellen von Computerobjekten für eine Organisationseinheit (Organizational Unit, OU) oder für den Computercontainer im Verzeichnis berechtigt sind. Benutzer mit dieser Berechtigung können der Domäne ungeachtet dessen, ob sie über das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne verfügen, eine unbegrenzte Anzahl von Geräten hinzufügen.
Darüber hinaus sind die Besitzer von Computerkonten, die mit dem Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne erstellt werden, Domänenadministratoren. Bei Computerkonten, die mit Berechtigungen für den Container des Computers erstellt werden, ist der Ersteller auch der Besitzer des Computerkontos. Wenn ein Benutzer über Berechtigungen für den Container sowie das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne verfügt, wird das Gerät entsprechend der Berechtigungen für den Computercontainer und nicht entsprechend des Benutzerrechts hinzugefügt.
Ein Neustart des Geräts ist nicht erforderlich, damit diese Richtlinieneinstellung wirksam wird.
Jede Änderung der zugewiesenen Benutzerrechte für ein Konto wird bei der nächsten Anmeldung des Besitzers des Kontos wirksam.
Gruppenrichtlinie
Einstellungen werden in der folgenden Reihenfolge über ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) angewendet. Hierdurch werden bei der nächsten Aktualisierung der Gruppenrichtlinie die Einstellungen auf dem lokalen Computer überschrieben:
Lokale Richtlinieneinstellungen
Websiterichtlinieneinstellungen
Domänenrichtlinieneinstellungen
OE-Richtlinieneinstellungen
Wenn eine lokale Einstellung abgeblendet angezeigt wird, bedeutet dies, dass sie derzeit von einem Gruppenrichtlinienobjekt gesteuert wird.
Sicherheitsaspekte
Für diese Richtlinie gelten die folgenden Sicherheitsaspekte:
Sicherheitsrisiko
Das Benutzerrecht Hinzufügen von Arbeitsstationen zur Domäne stellt ein moderates Sicherheitsrisiko dar. Benutzer mit diesem Recht können der Domäne ein Gerät hinzufügen, dessen Konfiguration gegen die Sicherheitsrichtlinien der Organisation verstößt. Beispiel: Wenn Ihre Organisation Benutzern keine Administratorrechte für ihre Geräte erteilen möchte, können die Benutzer Windows auf ihrem Computer installieren und diesen anschließend der Domäne hinzufügen. Die Benutzer würden das Kennwort für das lokale Administratorkonto kennen, könnten sich bei diesem Konto anmelden und der lokalen Administratorgruppe ein persönliches Domänenkonto hinzufügen.
Gegenmaßnahme
Konfigurieren Sie diese Einstellung so, dass nur autorisierte Mitglieder des IT-Teams der Domäne Computer hinzufügen dürfen.
Mögliche Auswirkung
Für Organisationen, die Benutzern nie erlaubt haben, ihre eigenen Computer einzurichten und der Domäne hinzuzufügen, hat diese Gegenmaßnahme keine Auswirkung. Organisationen, die einem Teil der Benutzer oder allen Benutzern gestattet haben, ihr eigenes Gerät zu konfigurieren, sind durch diese Gegenmaßnahme gezwungen, für die Zukunft einen formalen Prozess für diese Verfahren zu etablieren. Vorhandene Computer sind davon nicht betroffen, sofern sie nicht aus der Domäne entfernt und ihr anschließend erneut hinzugefügt werden.