AD wie mit lokalen Benutzern umgehen

Mitglied: geocast

geocast (Level 2) - Jetzt verbinden

28.01.2016 um 10:17 Uhr, 1612 Aufrufe, 14 Kommentare, 2 Danke

Guten Morgen zusammen

Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für die Domäne hat dieser PC für gewöhnlich einen lokalen Benutzer. Also nicht die vordefinierten Konten wie Administrator oder Gast, sondern den Benutzer den man selbst eingerichtet hat um dem PC einzurichten.
Wie verfahrt ihr mit diesem Benutzer nachdem der PC in die Domäne aufgenommen worden ist? Deaktiviert ihr ihn oder sogar Löschen? Oder gebt ihr dem Benutzer ein Passwort das nur den Domänenadmins bekannt ist?

Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.

Oder was denkt ihr dazu?

Danke für euer Input.
Mitglied: 117643
117643 (Level 2)
28.01.2016 um 10:22 Uhr
alle user werden von uns entfernt und nur der lokale Admin überlassen. Das Passwort bewahrt wir auf.

Wer physikalischen Zugriff auf das System hat, kommt immer an die Daten auf dem Gerät, solange die Festplatten unverschlüsselt sind.
Bitte warten ..
Mitglied: Coreknabe
28.01.2016 um 10:24 Uhr
Moin,

mal ne blöde Frage, wieso hebst Du den PC nicht in die Domäne und konfigurierst ihn dann?

Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Dafür brauchst Du aber physikalischen Zugang zum Rechner. Ich habe mir sagen lassen, dass Angriffe auch remote erfolgen können... Sollte das stimmen, könnte ein 12345678-Passwort fahrlässig sein...

Gruß
Bitte warten ..
Mitglied: geocast
28.01.2016 um 10:47 Uhr
Ja gut gäbe ich schon recht mit dem Remoteangriff. Wollte nur wissen ob ihr es trotzdem als Sinnvoll ansieht den Benutzer stehen zu lassen

Klar werden die PCs in der Domäne konfiguriert. Aber es gibt oft ein paar kleine Voreinstellungen die gemacht werden. Oder um den PC überhaupt in die Domäne aufzunehmen.
Bitte warten ..
Mitglied: 121016
121016 (Level 1)
28.01.2016 um 10:49 Uhr
Servus,

ich mache das im Prinzip so wie MichaelP08:
Wenn ein neuer Rechner kommt logge ich mich mit dem normalen Benutzer (heißt bei mir meistens "User") ein, aktiviere das lokale Admin-Konto, setze ein Passwort, deaktiviere den "User". Danach als lokaler Admin einloggen, in die Domäne einbinden, neu starten. Ab dann arbeite ich nur mehr mit meinem AD-Admin Konto.

Was (gerade bei jungen Admins) leider gerne gemacht wird: EIN Passwort für alle lokalen Admin Konten. Vermeide sowas bitte! Wenn ein User das mal mitbekommen sollte ist das Chaos perfekt. Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar :) face-smile )
Bitte warten ..
Mitglied: DerWoWusste
28.01.2016 um 11:54 Uhr
Moin.

Wir nehmen bei manueller Einrichtung immer ein spezielles Konto (Firmenname) und dieses wird per GPO sofort gelöscht, wenn man der Domäne beitritt.
Bitte warten ..
Mitglied: ArnoNymous
28.01.2016 um 11:55 Uhr
Zitat von @121016:

Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar :) face-smile )

Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
Bitte warten ..
Mitglied: 121016
121016 (Level 1)
28.01.2016, aktualisiert um 11:58 Uhr
Zitat von @ArnoNymous:

Zitat von @121016:

Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar :) face-smile )

Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.

oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp :) face-smile
Bitte warten ..
Mitglied: Chonta
28.01.2016 um 12:19 Uhr
Hallo,

Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.

stimmt.
Aber das Passwort sollte auch nicht innerhalb der Domäne verwendet werden.
Denn es ist in 2-4 Stunden möglich das Passwort der lokalen Benutzerzu entschlüsseln, wenn nun Domänenadmin und lokaler admin das selbe Passwort haben, blöd.

Den LAPS Ansatz schaue ich mir mal an, klingt sehr interesannt.

Gruß

Chonta
Bitte warten ..
Mitglied: 117643
117643 (Level 2)
28.01.2016 um 13:30 Uhr
Zitat von @121016:

Zitat von @ArnoNymous:

Zitat von @121016:

Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar :) face-smile )

Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.

oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp :) face-smile

Gleichmal bei uns in die Verbesserungsvorschläge aufgenommen :-) face-smile Danke für den Tipp!
Bitte warten ..
Mitglied: tomolpi
28.01.2016 um 14:02 Uhr
Hallo,

bei uns werden die per WDS installiert und während der Installation mit einem im AD hinterlegten "join-domain-user" ins AD gehoben, nach der Installation haben wir dann Service-Accounts für weitere Konfig.
Bitte warten ..
Mitglied: VGem-e
28.01.2016 um 14:33 Uhr
Servus,

hierzu mal als (deutschsprachiges) Info:

http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endli ...

Wichtig scheint aber der dort an letzter Stelle angebrachte Hinweis (tlw. Zitat):
...
Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.
...

Gruß
VGem-e
Bitte warten ..
Mitglied: geocast
09.02.2016 um 10:45 Uhr
Vielen Dank für die Zahlreichen vorschläge. LAPS werde ich mir auch anschauen!

Es gibt doch auch mal Fälle, das man den PC aus der Domäne wieder entfernen muss. Wie geht ihr damit um, wenn der PC kein lokales Konto mehr hat. Dann kann man sich ja nicht mehr Anmelden?
Bitte warten ..
Mitglied: DerWoWusste
09.02.2016 um 10:47 Uhr
Hi.

Wenn man ihn von der Domäne entfernen muss, aktiviert man zuvor den lokalen Administrator.
Wenn der Rechner die Vertrauensstellung zur Domäne bereits verloren hat, nimmt man Bootdisks und aktiviert den lokalen Admin auf diese Weise (Nordahl oder utilman).
Bitte warten ..
Mitglied: ArnoNymous
09.02.2016 um 10:48 Uhr
Ein lokales Konto hat man immer. Den Adminstrator.
Bevor man den PC aus der Domäne nimmt, aktiviert man diesen Account und setzt das Passwort zurück, wenn man es nicht kennt, oder man erstellt einen neuen Benutzer mit Adminrechten.
Sollte man das vergessen, gibt es noch andere Mittel und Wege einen Benutzer zu aktivieren/erstellen. Mittels Boot-CD ect.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 1 TagFrageOff Topic20 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

Server-Hardware
Mini-PC oder Server für Dauerbetrieb
Surfer12Vor 1 TagFrageServer-Hardware20 Kommentare

Hallo zusammen, wir projektieren gerade eine neue Zutrittslösung für ein kleines Hotel mit ca. 20 Zimmern. Die Gäste sollen in Zukunft einen SelfCheckIn machen ...

Firewall
Windows Defender dauerhaft deaktivieren
Frankie222Vor 1 TagFrageFirewall9 Kommentare

Hallo, ich wollte mal fragen ob jemand weiss wie man bei Windows 10 Home den kompletten Schutz deaktiviert. Den Defender und alles! Ich habe ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 1 TagFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

Windows 10
Windows 10 20HS SCCM
stoepsu77Vor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen Ich hoffe, dass jemand von euch mir eine weitere Idee geben kann. Ich habe keine Ideen mehr. Folgendes: Wir haben eine Tasksequenz ...

Suche Projektpartner
Suche Projektpartner
irinaterletska12Vor 1 TagFrageSuche Projektpartner1 Kommentar

Hallo alle zusammen . Wir sind eine ukrainische Firma, die nach dem Projektpartner sucht. Wir können für deutsche Firmen Support geben. Wir können Fernwartung ...

SAN, NAS, DAS
NAS mit Backup Funktion gesucht
YellowcakeVor 1 TagFrageSAN, NAS, DAS8 Kommentare

Hallo zusammen ich bin total unerfahren was diese NAS Systeme angeht die man sich zuhause hinstellen kann. Aktuell habe ich einen kleinen Server hier ...

Windows Server
Wie konvertiere ich NTFS zu GPT
itnirvanaVor 1 TagFrageWindows Server11 Kommentare

Hallo, auf einem Server ist die Platte 2048 GB per NTFS mit vollem Platz erreicht. Wie kann ich nun diese Platte zu GPT konvertieren. ...