Hallo zusammen,

ich bin immer noch am AD aufräumen und dabei über unsere Serviceuser für PRTG gestolpert.

Seitdem versuch ich in der Knowledge Base von Paessler hilfreiche Hinweise zu finden, welche Rechte so ein Abfrageuser wirklich braucht. Lokale Adminrechte sind ja schön und gut, damit kann man alles machen, aber 1. ist das höchstwahrscheinlich Overkill und 2. gibt es so was wie einen lokalen Admin auf einem DC nicht, da müsste man Domaiadmin sein, und das sind nun wirklich zu hohe Rechte.

Jemand eine Idee/einen Link dem ich entnehmen kann welche Rechte benötigt werden um "die üblichen Verdächtigen" (CPU, RAM, Plattenplatz, diverse Dienste) per WMI zu überwachen, auch auf einem DC?

Das hier scheint mit noch am vielversprechendsten, aber ich wüsste gern vorher ob das schon mal jemand getestet und für funktionstüchtig befunden hat. alternativ bin ich über jede Idee dankbar.

 

 

Ok, der Link von mir könnte prinzipiell funktionieren... Für alles außer DCs, weil *Trommelwirbel* ein DC hat keine lokalen Gruppen. *Gnarf*

Somit ist der Link aus der KB auch hinfällig, "Get-LocalGroup" auf einem normalen Server gibt mir genau die Gruppen zurück die ich erwarte, auf einem DC gibt er mir alle AD Gruppen zurück (zwar auch wie erwartet, aber nicht wie erhofft).

Get-LocalGroup -Name "Users" gibt mir auch auf dem einen (Memberserver) was zurück, auf dem anderen (DC) nicht, daher kann ich die Theorie "Microsoft versteckt das nur" so nicht unterschrieben.

PRTG sagt dazu folgendes:

Zitat

User Name

Enter the user name for access to the Windows system. Usually, you use credentials with administrator rights.[/url]

 🤪

 

Hattest Du den Vorschlag aus dem letzten Post deines verlinkten Threads mal ausprobiert?

 

Bearbeitet 1. Februar 20241 j von Eye-Q
Zitat war falsch gesetzt...

vor 13 Stunden schrieb Eye-Q:

PRTG sagt dazu folgendes:

Zitat

User Name

Enter the user name for access to the Windows system. Usually, you use credentials with administrator rights.[/url]

 

Jup und wenn man weiter gräbt findet man den Link aus meiner Ursprungsfrage, inkl diverser Beiträge darunter, dass das Vorgehen so funktioniert - solange der Server kein DC ist.

Zitat

Hattest Du den Vorschlag aus dem letzten Post deines verlinkten Threads mal ausprobiert?

Du meinst, das was ich hier:

vor 20 Stunden schrieb Maniska:

Somit ist der Link aus der KB auch hinfällig, "Get-LocalGroup" auf einem normalen Server gibt mir genau die Gruppen zurück die ich erwarte, auf einem DC gibt er mir alle AD Gruppen zurück (zwar auch wie erwartet, aber nicht wie erhofft).

Get-LocalGroup -Name "Users" gibt mir auch auf dem einen (Memberserver) was zurück, auf dem anderen (DC) nicht, daher kann ich die Theorie "Microsoft versteckt das nur" so nicht unterschrieben.

beschrieben hatte?

Da ich die Gruppen auch über die Powershell nicht finden kann, und somit auch keine Chance hätte die Member darin zu prüfen werde ich den Teufel tun und "blind" versuchen User mit lokalen Adminrechten auf dem DC zu fummeln. Vor allem wenn es keine Weg zu geben scheint, die Mitgliedschaft im Nachgang zu prüfen.

Dann lieber ein Domainadmin den man in 3 Jahren auch noch findet, wenn man danach sucht wer wo Rechte hat...

Vor allem weil ich bis jetzt nirgendwo eine Bestätigung gefunden habe, dass dieses Vorgehen so auch funktionieren würde, allerdings diese Aussage aus dem Jahr 2012 unter einem Beitrag der genau das selbe vorgehen vorgeschlagen hat...

Zitat

I, too, used this method on a 2003 and 2008 DC; both times all it did was add the domain user to the domain\Administrator's group. There no longer is a local administrator account or administrators group on a DC.