winacker
Goto Top

AD-User mit lokalen Adminrechten - auf allen PCs

Hallo,
ich möchte einem Support-User bzw. dessen Support-Account das lokale Admin-Recht auf allen PCs geben, auf denen er sich so anmeldet. Also ähnlich wie dem DomAdmin, nur ohne Dom.
Wie kann man sowas anstellen ohne jeden einzelnen PC anzufassen?

Danke Euch

Content-Key: 61471143268

Url: https://administrator.de/contentid/61471143268

Printed on: March 1, 2024 at 17:03 o'clock

Member: em-pie
em-pie Oct 13, 2023 at 11:56:51 (UTC)
Goto Top
Moin,

hat der Suppoert-Mitarbeiter das REcht, auf (bestimmte) OUs im AD zuzugreifen?

Falls ja:
LAPS wäre das richtige Stichwort hier

Im schlimmstenfalls kannst du aber einen bestimmten User per GPO in die Gruppe der lokalen Admins verfrachten:
https://woshub.com/add-domain-users-local-admin-group-gpo/
In jedem Fall aber eine separaten User verwenden. Nicht den normalen Arbeitsuser des Support-Mitarbeiters...


LAPS wäre jedoch die bessere Wahl
Member: Hubert.N
Hubert.N Oct 13, 2023 at 12:00:28 (UTC)
Goto Top
Moin

Nennt sich "Eingeschränkte Gruppen" und lässt sich per GPO konfigurieren. Oder auch dort über GPPs.
vgl. https://www.windowspro.de/wolfgang-sommergut/lokale-gruppen-benutzer-ueb ...


Gruß
Member: mayho33
mayho33 Oct 13, 2023 at 13:09:06 (UTC)
Goto Top
Hi,

Was du willst lässt sich via Restricted Groups sehr gut umsetzen:

Fehler: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist
Member: elix2k
elix2k Oct 13, 2023 at 13:15:39 (UTC)
Goto Top
Hi, wie die Kollegen schon sagten "Eingeschränkte Gruppen".
Ich persönlich würde aber wie em-pie schon sagte auf LAPS setzen und dem User nicht so viele Berechtigungen geben.
Member: DerWoWusste
DerWoWusste Oct 13, 2023 at 13:54:20 (UTC)
Goto Top
Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.
Member: Vision2015
Vision2015 Oct 14, 2023 at 04:21:13 (UTC)
Goto Top
Moin..
Zitat von @DerWoWusste:

Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.

das sehe ich genauso!

Frank
Member: winacker
winacker Oct 24, 2023 at 11:14:16 (UTC)
Goto Top
"https://thesysadminchannel.com/add-local-administrators-via-gpo-group-policy/" finde ich sehr handy, aber mir als GPO-Gelegenheitsuser erschließt sich noch nicht, wie ich auf diese Weise verschiedenen Gruppen Rechte auf Workstations ODER Server geben kann. So wie es dort beschrieben ist, trifft die GPO doch alle Systeme?!

Wenn ihr dazu noch Hinweise habt ..?
Danke
Member: Dani
Dani Oct 24, 2023 updated at 11:21:40 (UTC)
Goto Top
Moin,
So wie es dort beschrieben ist, trifft die GPO doch alle Systeme?!
bitte den Absatz nochmals lesen:
Apply the Group Policy to your Organizational Unit
Right Click your preferred OU and select Link an Existing GPO
Select Local Administrators – Servers GPO
Close out of GPMC.
Alternativ kannst du auch einen WMI Filter nehmen oder eben eine Sicherheitsgruppe definieren, auf welche die GPO anwendet werden kann.

Gruß,
Dani