Zum Inhalt springen

lokaler Admin per GPO

DealwithIT

Von DealwithIT
in Windows

 Teilen

Empfohlene Beiträge

DealwithIT

DealwithIT

Geschrieben
Geschrieben (bearbeitet)

Hi ich müsste bei unseren Kunden einen lokalen Administrator anlegen und auf allen Rechnern verteilen. Am besten mit dem Benuternamen Admin.

Leider wurde diese Möglichkeit dies per GPO einzustellen von Microsoft deaktiviert, da es angeblich unsicher ist ein Passwort in einer GPO Richtlinie zu speichern. Quelle hier: https://support.microsoft.com/de-de/kb/2962486

Ich könnte es natürlich wieder aktivieren, aber es soll ja unsicher sein^^.

Kennt jemand eine schnelle Möglichkeit, ohne dass ich mich mit jeder Computerverwaltung von jedem Rechner verbinden muss und den lokalen Admin manuell erstellen muss?

 

Bearbeitet von DealwithIT
Link zu diesem Kommentar
Auf anderen Seiten teilen
Crash2001

Crash2001

Geschrieben
Geschrieben (bearbeitet)

Ob es nun in der GPO oder im Script abgelegt wird - es wird das Passwort gespeichert. Von daher eigentlich egal, wie rum du es machst.

Aber wieso einen lokalen User anlegen, statt einem Domain-User lokale Admin-Rechte zu geben? Geht doch auch und er sollte sich dann damit (falls er sich vorher schon einmal eingeloggt hat) dann auch einloggen und lokale Admin Rechte bekommen können, wenn er offline ist.
Ich kenne es von diversen Firmen so, dass der User nciht überall gleich heisst (und überall als lokaler User ein anderes Passwort hat?), sondern dass es jeweils zwei User für einen Benutzer gibt.
Normales Kürzel => Hauptbenutzer
adm_Kürzel => lokaler Admin

P.S.:
Du schreibst leider nicht, welche Serverversion verwendet wird. Von daher keine Ahnung, ob der folgende Link passt: how-to-make-a-domain-user-the-local-administrator-for-all-pcs

Bearbeitet von Crash2001
Link zu diesem Kommentar
Auf anderen Seiten teilen
t0pi

t0pi

Geschrieben
Geschrieben
vor 1 Stunde schrieb Crash2001:

Ob es nun in der GPO oder im Script abgelegt wird - es wird das Passwort gespeichert. Von daher eigentlich egal, wie rum du es machst.

Aber wieso einen lokalen User anlegen, statt einem Domain-User lokale Admin-Rechte zu geben? Geht doch auch und er sollte sich dann damit (falls er sich vorher schon einmal eingeloggt hat) dann auch einloggen und lokale Admin Rechte bekommen können, wenn er offline ist.
Ich kenne es von diversen Firmen so, dass der User nciht überall gleich heisst (und überall als lokaler User ein anderes Passwort hat?), sondern dass es jeweils zwei User für einen Benutzer gibt.
Normales Kürzel => Hauptbenutzer
adm_Kürzel => lokaler Admin

P.S.:
Du schreibst leider nicht, welche Serverversion verwendet wird. Von daher keine Ahnung, ob der folgende Link passt: how-to-make-a-domain-user-the-local-administrator-for-all-pcs

Ein Grund könnte für den Worst Case Fall sein: Was machst du wenn der PC aus der Domäne fliegt ? Neu einsetzen geht wohl schlecht wenn du keinen lokalen Admin hast. Der "Administrator" (der standartmäßig deaktiviert ist) musst du dann via Windows Boot CD erstmal aktivieren, was ziemlich umständlich ist.

Ich stelle mir eher die Frage wieso der deaktivierte Administrator nicht einfach aktiviert und mit Kennwort versehen wird

Link zu diesem Kommentar
Auf anderen Seiten teilen
Crash2001

Crash2001

Geschrieben
Geschrieben

Dann hat man Pech gehabt und muss mit den Einschränkungen leben? ;) Möglich ist der Zugriff auf den Rechner ja dennoch und man muss den Rechner dann halt neu aufsetzten, oder alternativ wieder in die Domain packen.

Fragen wir mal so - wie oft passiert so etwas bei einem Rechner, der durchgehend genutzt wird? Ich würde mal grob schätzen bei 1000 Rechnern 1x Im Jahr bei einem oder so?  Zumindest solange man nicht Mitarbeiter hat, die öfter mal für lange Zeit abwesend sind und keine VPN-Zugangsmöglichkeit haben, so dass sie darüber die aktuellen GPOs und Updates ziehen können.

Link zu diesem Kommentar
Auf anderen Seiten teilen
t0pi

t0pi

Geschrieben
Geschrieben (bearbeitet)

Also gefühlt ist es mir schon öfter passiert aber ich kann mich auch irren. Was wenn der PC in eine völlig neue Domäne geht ? (Alte Domäne wird platt gemacht weswegen auch immer) Ich würde mich nicht drauf verlassen das so eine Arbeit von einem Techniker sondern von einem Azubi gemacht wird, und der vergisst gerne mal den lokalen Admin zu aktivieren, Kennwort zu setzen und dann den Umzug durchzuführen, dann hast du je nach Anzahl der PCs die so bearbeitet wurden eine Menge Zeitaufwand um das gerade zu ziehen, Zeit die du für sowas eigentlich nicht hast. Auch habe ich es schon erlebt das der vorherige Dienstleister keine Kennwörter gegeben hat, man eine neue Domäne aufsetzen musste aber das Admin Konto mit einem vom Dienstleister versehenem Kennwort hinterlegt war (was wir auch nicht hatten).

 

Klar ist ein lokales Adminkonto immer ein Sicherheitsrisiko (vorallem wenn das Kennwort das selbe ist wie vom DomAdmin), aber meines Erachtens nach sollte immer so ein Konto bereitstehen oder das Administrator Konto aktiviert sein (wobei ich zum Großteil nur mit Terminalserver Umgebungen zu tun habe, ergo auf den Clients gar nichts relevantes installiert ist)

 

"Dann hat man Pech gehabt und muss den Einschränkungen leben" - Sag das mal deinem Chef, der reisst dir den Kopf ab und sch... dir in den Hals.

 

Bearbeitet von t0pi
Link zu diesem Kommentar
Auf anderen Seiten teilen
Crash2001

Crash2001

Geschrieben
Geschrieben

Ja gut,

wenn der lokale Admin aktiviert ist, sehe ich halt nur das Problem, dass der User ja das Passwort vergibt und man dadurch auch nicht an den Rechner kommt, ohne es zurückzusetzen über Umwege. (Keine Ahnung, inwiefern so etwas überhaupt geht bei verschlüsselten Platten mit z.B. safe Guard Easy, Bitlocker, SafeBoot Device Encryption oder ähnlichen Tools) Sonst müsste man zwei lokale Admins haben (einer mit Standardpasswort und einer mit durch den User vergebenem Passwort).

Wird eine neue Domain aufgesetzt würde ich eh schauen, dass die Rechner frisch aufgesetzt werden, um jeglichen Problemen durch vom ehemaligen Provicer gesetzte Registry-Einträge oder sonstige Spezial-Sachen aus dem Weg zu gehen und ein sauberes System zu haben ohne Userdaten, auf die die User eh keinen Zugriff mehr haben. Ist definitiv die sauberere Lösung.

Davon abgesehen - wie oft baut man schon eine neue Domain auf. Im Normalfall eher selten - höchstens, wenn Firmen geteilt / zusammengeführt werden oder aber ein komplett neuer AD-Server aufgesetzt wird mit neuem OS.

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...