Jump to content
Melde dich an, um diesem Inhalt zu folgen  

lokaler Admin per GPO

Empfohlene Beiträge

Hi ich müsste bei unseren Kunden einen lokalen Administrator anlegen und auf allen Rechnern verteilen. Am besten mit dem Benuternamen Admin.

Leider wurde diese Möglichkeit dies per GPO einzustellen von Microsoft deaktiviert, da es angeblich unsicher ist ein Passwort in einer GPO Richtlinie zu speichern. Quelle hier: https://support.microsoft.com/de-de/kb/2962486

Ich könnte es natürlich wieder aktivieren, aber es soll ja unsicher sein^^.

Kennt jemand eine schnelle Möglichkeit, ohne dass ich mich mit jeder Computerverwaltung von jedem Rechner verbinden muss und den lokalen Admin manuell erstellen muss?

 

bearbeitet von DealwithIT

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ob es nun in der GPO oder im Script abgelegt wird - es wird das Passwort gespeichert. Von daher eigentlich egal, wie rum du es machst.

Aber wieso einen lokalen User anlegen, statt einem Domain-User lokale Admin-Rechte zu geben? Geht doch auch und er sollte sich dann damit (falls er sich vorher schon einmal eingeloggt hat) dann auch einloggen und lokale Admin Rechte bekommen können, wenn er offline ist.
Ich kenne es von diversen Firmen so, dass der User nciht überall gleich heisst (und überall als lokaler User ein anderes Passwort hat?), sondern dass es jeweils zwei User für einen Benutzer gibt.
Normales Kürzel => Hauptbenutzer
adm_Kürzel => lokaler Admin

P.S.:
Du schreibst leider nicht, welche Serverversion verwendet wird. Von daher keine Ahnung, ob der folgende Link passt: how-to-make-a-domain-user-the-local-administrator-for-all-pcs

bearbeitet von Crash2001

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 1 Stunde schrieb Crash2001:

Ob es nun in der GPO oder im Script abgelegt wird - es wird das Passwort gespeichert. Von daher eigentlich egal, wie rum du es machst.

Aber wieso einen lokalen User anlegen, statt einem Domain-User lokale Admin-Rechte zu geben? Geht doch auch und er sollte sich dann damit (falls er sich vorher schon einmal eingeloggt hat) dann auch einloggen und lokale Admin Rechte bekommen können, wenn er offline ist.
Ich kenne es von diversen Firmen so, dass der User nciht überall gleich heisst (und überall als lokaler User ein anderes Passwort hat?), sondern dass es jeweils zwei User für einen Benutzer gibt.
Normales Kürzel => Hauptbenutzer
adm_Kürzel => lokaler Admin

P.S.:
Du schreibst leider nicht, welche Serverversion verwendet wird. Von daher keine Ahnung, ob der folgende Link passt: how-to-make-a-domain-user-the-local-administrator-for-all-pcs

Ein Grund könnte für den Worst Case Fall sein: Was machst du wenn der PC aus der Domäne fliegt ? Neu einsetzen geht wohl schlecht wenn du keinen lokalen Admin hast. Der "Administrator" (der standartmäßig deaktiviert ist) musst du dann via Windows Boot CD erstmal aktivieren, was ziemlich umständlich ist.

Ich stelle mir eher die Frage wieso der deaktivierte Administrator nicht einfach aktiviert und mit Kennwort versehen wird

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dann hat man Pech gehabt und muss mit den Einschränkungen leben? ;) Möglich ist der Zugriff auf den Rechner ja dennoch und man muss den Rechner dann halt neu aufsetzten, oder alternativ wieder in die Domain packen.

Fragen wir mal so - wie oft passiert so etwas bei einem Rechner, der durchgehend genutzt wird? Ich würde mal grob schätzen bei 1000 Rechnern 1x Im Jahr bei einem oder so?  Zumindest solange man nicht Mitarbeiter hat, die öfter mal für lange Zeit abwesend sind und keine VPN-Zugangsmöglichkeit haben, so dass sie darüber die aktuellen GPOs und Updates ziehen können.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Also gefühlt ist es mir schon öfter passiert aber ich kann mich auch irren. Was wenn der PC in eine völlig neue Domäne geht ? (Alte Domäne wird platt gemacht weswegen auch immer) Ich würde mich nicht drauf verlassen das so eine Arbeit von einem Techniker sondern von einem Azubi gemacht wird, und der vergisst gerne mal den lokalen Admin zu aktivieren, Kennwort zu setzen und dann den Umzug durchzuführen, dann hast du je nach Anzahl der PCs die so bearbeitet wurden eine Menge Zeitaufwand um das gerade zu ziehen, Zeit die du für sowas eigentlich nicht hast. Auch habe ich es schon erlebt das der vorherige Dienstleister keine Kennwörter gegeben hat, man eine neue Domäne aufsetzen musste aber das Admin Konto mit einem vom Dienstleister versehenem Kennwort hinterlegt war (was wir auch nicht hatten).

 

Klar ist ein lokales Adminkonto immer ein Sicherheitsrisiko (vorallem wenn das Kennwort das selbe ist wie vom DomAdmin), aber meines Erachtens nach sollte immer so ein Konto bereitstehen oder das Administrator Konto aktiviert sein (wobei ich zum Großteil nur mit Terminalserver Umgebungen zu tun habe, ergo auf den Clients gar nichts relevantes installiert ist)

 

"Dann hat man Pech gehabt und muss den Einschränkungen leben" - Sag das mal deinem Chef, der reisst dir den Kopf ab und sch... dir in den Hals.

 

bearbeitet von t0pi

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ja gut,

wenn der lokale Admin aktiviert ist, sehe ich halt nur das Problem, dass der User ja das Passwort vergibt und man dadurch auch nicht an den Rechner kommt, ohne es zurückzusetzen über Umwege. (Keine Ahnung, inwiefern so etwas überhaupt geht bei verschlüsselten Platten mit z.B. safe Guard Easy, Bitlocker, SafeBoot Device Encryption oder ähnlichen Tools) Sonst müsste man zwei lokale Admins haben (einer mit Standardpasswort und einer mit durch den User vergebenem Passwort).

Wird eine neue Domain aufgesetzt würde ich eh schauen, dass die Rechner frisch aufgesetzt werden, um jeglichen Problemen durch vom ehemaligen Provicer gesetzte Registry-Einträge oder sonstige Spezial-Sachen aus dem Weg zu gehen und ein sauberes System zu haben ohne Userdaten, auf die die User eh keinen Zugriff mehr haben. Ist definitiv die sauberere Lösung.

Davon abgesehen - wie oft baut man schon eine neue Domain auf. Im Normalfall eher selten - höchstens, wenn Firmen geteilt / zusammengeführt werden oder aber ein komplett neuer AD-Server aufgesetzt wird mit neuem OS.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Nimm an der Diskussion teil

Du kannst jetzt hier posten und Dich später registrieren. Wenn Du bereits über eine Konto verfügst, melde Dich jetzt an, um mit Deinem Konto zu posten.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Clear editor

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Melde dich an, um diesem Inhalt zu folgen  

Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung