HowTo: AD-Join Delegation

Es gibt den Fall, da möchte man anderen Anwendern (IT-Helpdesk, Externe Dienstleister für PC-Rollout-Projekte,…) die Möglichkeit geben, dass neue Geräte in die Active Directory aufgenommen werden dürfen, auch bekannt als „AD join“. Nun möchte man diesen allerdings nicht gleich in die Gruppe „Domain Admins“ aufnehmen, immerhin gilt in der IT-Sicherheit „Principle of least priviledge“ (kurz: „POLP“).

Anhand der offiziellen Microsoft-Support-Seite hier eine kurze Anleitung:

DIe Geräte, die aufgenommen werden sollen, müssen vorher in der AD durch einen entsprechenden Administrator angelegt (eng. „prestaged“) werden. Das sollte man in einer separaten OU machen, bspw.:

Ich empfehle, vorher eine Gruppe anzulegen und diese hier in der Anleitung zu verwenden.
Vorteile:
– man muss das nicht für jeden Anwender neu durchführen
– man kann durch Entfernen des Anwenders aus der Gruppe ihm diese Rechte ganz schnell wieder entziehen
– man sieht immer schnell, wer diese Rechte hat (Anwender in der Gruppe)

Für das Einrichten der notwendigen Delegation wird folgendermaßen vorgegangen:

  1. Das Tool „Active Directory Users and Computers“ öffnen (bspw. [WIN]+[R], dann „dsa.msc“ eintippen und auf [OK] klicken)
  2. Auf der linken Seite auf die Staging-OU wechseln, darauf einen Rechtsklick ausführen und im Kontext-Menü auf „Delegate Control“ klicken
  3. Im Assistenten zuerst auf [Next] dann den zu berechtigenden Benutzer oder Gruppe (siehe Empfehlung oben^^). Weiter mit [Next]
  4. Da es für diesen Fall keine passende Vorlage gibt, auf „Create a custom task to delegate“ klicken. Weiter mit [Next]
  5. Da das Recht nur für Computer-Objekte gelten soll, hier auf „Only the following objects in the folder“ klicken und in der Liste dann „Computer objects“ auswählen, sowie die beiden Checkboxen
    – Create selected objects in this folder
    – Delete selected objects in this folder
    Weiter mit [Next]
  6. In der Liste der „Permissions“ wird mit den Checkboxen das ausgewählt:
    – Reset password
    – Read and write Account restrictions
    – Validate write to DNS host name
    – Validate write to service principal name
    Weiter mit [Next]
  7. Es wird nochmal eine Übersicht aller gewählten Einstellungen angezeigt. Weiter mit [FINISH]
  8. Danach kann das Tool „Active Directory Users and Computers“ wieder geschlossen werden

Hier die Anleitung in Bildern:

Test – Funktioniert das auch?

Und natürlich sollte das auch getestet werden… ich habe hierzu eine neue VM genommen und werde mittels abgewandeltem PowerShell (siehe Artikel PowerShell: Client/Server zur Domäne hinzufügen) diese nun versuchen in die AD aufzunehmen. Also nicht „mydomain\ADadmin“ sondern eben „mydomain\ADjoin„:

Ronny Böttcher

Microsoft-Systemadministrator seit 2007 und seit 2021 als IT-Consultant bei Bechtle in Deutschland am Standort Mannheim; alle bisherigen Stationen siehe bei "Über mich". In seiner Freizeit bei der Feuerwehr und Modellbahner, zudem gerne am Kochen/Grillen - oder am Essen 😁

1 Antwort

  1. Christian sagt:

    ENDLICH!
    Ich habe … nee: hatte das Problem, dass es mit dem „domain join“ nicht mehr geklappt hat, nachdem ich den verwendeten User aus der Gruppe der „Account Operators“ entfernt hatte. Die ganzen anderen Beschreibungen der erforderlichen Delegation, die ich im Netz gefunden hatte, funktionierten nicht. DIESE HIER SCHON. Ergo: Vielen Dank dafür!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.