Microsoft hat es generell so geregelt, dass jeder Windows Domänen-Anwender Windows Clients zu einer Windows Active Directory Domäne hinzufügen darf. Diese Anzahl ist zwar auf maximal 10 Clients beschränkt, stellt aber viele Administratoren vor ein Problem. Des ist aber möglich , dieses entsprechend einzuschränken und nur bestimmten Usern oder Gruppen im Netzwerk zu erlauben.

Dazu müsst Ihr den Gruppenrichtlinien-Editor aus den Domänen-Verwaltungstools aufrufen und zu folgendem Schlüssel wechseln

Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Zuweisen von Benutzerrechten 

Dort gibt es dann die folgende Gruppenrichtlinie, die Ihr konfigurieren müsst.

Hinzufügen von Arbeitsstationen zur Domäne

Hier nachfolgend seht Ihr die Originalabbildung der gesuchten GPO.

Hinzufügen von Arbeitsstationen zur Domäne

Wichtig ist, dass Ihr den Haken bei „Diese Richtlinieneinstellungen definieren“ aktiviert. Anschließend könnt Ihr dann über „Benutzer oder Gruppen hinzufügen“ noch definieren, welche AD-Gruppe oder AD-User die Rechte für die Aufnahme von Clients in die Netzwerk-Domäne erhalten soll. Dieses muss dann natürlich noch auf die korrekte Organisationeinheit (OU) verteilt werden.

Microsoft erklärt diese Gruppenrichtlinie wie folgt:

Hinzufügen von Arbeitsstationen zur Domäne

Mit dieser Sicherheitseinstellung wird festgelegt, welche Gruppen oder Benutzer Arbeitsstationen zu einer Domäne hinzufügen können.

Diese Sicherheitseinstellung ist nur für Domänencontroller gültig. Standardmäßig besitzt jeder authentifizierte Benutzer dieses Recht und kann bis zu 10 Computerkonten in der Domäne erstellen.

Durch Hinzufügen eines Computerkontos zur Domäne kann der Computer an der Active Directory-Vernetzung teilnehmen. Wenn eine Arbeitsstation zum Beispiel einer Domäne hinzugefügt wird, kann diese Arbeitsstation Konten und Gruppen erkennen, die in Active Directory vorhanden sind.

Standardwert: „Authentifizierte Benutzer“ bei Domänencontrollern.

Hinweis: Benutzer, die für den Active Directory-Container „Computer“ die Berechtigung zum Erstellen von Computerobjekten besitzen, können auch in der Domäne Computerkonten erstellen. Der Unterschied ist, dass auf Benutzer, die über Berechtigungen für den Container verfügen, die Einschränkung zum Erstellen von maximal 10 Benutzerkonten nicht zutrifft. Darüber hinaus sind die Computerkonten, die mithilfe von „Hinzufügen von Arbeitsstationen zur Domäne“ erstellt wurden, im Besitz von Domänenadministratoren, während bei Computerkonten, die mithilfe der Berechtigungen für den Container „Computer“ erstellt wurden, der Ersteller des Computerkontos der Besitzer ist. Wenn ein Benutzer über Berechtigungen für den Container verfügt und auch das Benutzerrecht „Hinzufügen von Arbeitsstationen zur Domäne“ besitzt, wird der Computer basierend auf den Berechtigungen für den Container „Computer“ und nicht basierend auf dem Benutzerrecht hinzugefügt.

Weitere interessante Informationen zu Gruppenrichtlinien findet Ihr auch in folgenden Beiträgen.

– Server-Manager nach Windows Anmeldung nicht automatisch starten
– Windows Energieoptionen für Bildschirm und Standbymodus über GPO einstellen
– IE Proxy-Server Einstellungen per GPO korrekt verteilen
– Inaktive Benutzerprofile nach einer bestimmten Anzahl Tage automatisch löschen
– Nur lokale Benutzerprofile zulassen
– Administrative ADMX Templates für Windows 10 Fall Creators Update 1709 – Download
– Beim Neustarten des Computers und bei der Anmeldung immer auf das Netzwerk warten
– Animation bei der ersten Windows 10 Anmeldung deaktivieren