AD-User mit lokalen Adminrechten - auf allen PCs
Hallo,
ich möchte einem Support-User bzw. dessen Support-Account das lokale Admin-Recht auf allen PCs geben, auf denen er sich so anmeldet. Also ähnlich wie dem DomAdmin, nur ohne Dom.
Wie kann man sowas anstellen ohne jeden einzelnen PC anzufassen?
Danke Euch
ich möchte einem Support-User bzw. dessen Support-Account das lokale Admin-Recht auf allen PCs geben, auf denen er sich so anmeldet. Also ähnlich wie dem DomAdmin, nur ohne Dom.
Wie kann man sowas anstellen ohne jeden einzelnen PC anzufassen?
Danke Euch
Please also mark the comments that contributed to the solution of the article
Content-ID: 61471143268
Url: https://administrator.de/contentid/61471143268
Printed on: October 11, 2024 at 14:10 o'clock
8 Comments
Latest comment
Moin,
hat der Suppoert-Mitarbeiter das REcht, auf (bestimmte) OUs im AD zuzugreifen?
Falls ja:
LAPS wäre das richtige Stichwort hier
Im schlimmstenfalls kannst du aber einen bestimmten User per GPO in die Gruppe der lokalen Admins verfrachten:
https://woshub.com/add-domain-users-local-admin-group-gpo/
In jedem Fall aber eine separaten User verwenden. Nicht den normalen Arbeitsuser des Support-Mitarbeiters...
LAPS wäre jedoch die bessere Wahl
hat der Suppoert-Mitarbeiter das REcht, auf (bestimmte) OUs im AD zuzugreifen?
Falls ja:
LAPS wäre das richtige Stichwort hier
Im schlimmstenfalls kannst du aber einen bestimmten User per GPO in die Gruppe der lokalen Admins verfrachten:
https://woshub.com/add-domain-users-local-admin-group-gpo/
In jedem Fall aber eine separaten User verwenden. Nicht den normalen Arbeitsuser des Support-Mitarbeiters...
LAPS wäre jedoch die bessere Wahl
Moin
Nennt sich "Eingeschränkte Gruppen" und lässt sich per GPO konfigurieren. Oder auch dort über GPPs.
vgl. https://www.windowspro.de/wolfgang-sommergut/lokale-gruppen-benutzer-ueb ...
Gruß
Nennt sich "Eingeschränkte Gruppen" und lässt sich per GPO konfigurieren. Oder auch dort über GPPs.
vgl. https://www.windowspro.de/wolfgang-sommergut/lokale-gruppen-benutzer-ueb ...
Gruß
Hi,
Was du willst lässt sich via Restricted Groups sehr gut umsetzen:
Fehler: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist
Was du willst lässt sich via Restricted Groups sehr gut umsetzen:
Fehler: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist
Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.
Moin..
das sehe ich genauso!
Frank
Zitat von @DerWoWusste:
Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.
Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.
das sehe ich genauso!
Frank
Moin,
Alternativ kannst du auch einen WMI Filter nehmen oder eben eine Sicherheitsgruppe definieren, auf welche die GPO anwendet werden kann.
Gruß,
Dani
So wie es dort beschrieben ist, trifft die GPO doch alle Systeme?!
bitte den Absatz nochmals lesen:Apply the Group Policy to your Organizational Unit
Right Click your preferred OU and select Link an Existing GPO
Select Local Administrators – Servers GPO
Close out of GPMC.
Gruß,
Dani