AD-User mit lokalen Adminrechten - auf allen PCs

Hallo,
ich möchte einem Support-User bzw. dessen Support-Account das lokale Admin-Recht auf allen PCs geben, auf denen er sich so anmeldet. Also ähnlich wie dem DomAdmin, nur ohne Dom.
Wie kann man sowas anstellen ohne jeden einzelnen PC anzufassen?

Danke Euch

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 61471143268

Url: https://administrator.de/contentid/61471143268

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

8 Kommentare

Neuester Kommentar

Moin,

hat der Suppoert-Mitarbeiter das REcht, auf (bestimmte) OUs im AD zuzugreifen?

Falls ja:
LAPS wäre das richtige Stichwort hier

Im schlimmstenfalls kannst du aber einen bestimmten User per GPO in die Gruppe der lokalen Admins verfrachten:
https://woshub.com/add-domain-users-local-admin-group-gpo/
In jedem Fall aber eine separaten User verwenden. Nicht den normalen Arbeitsuser des Support-Mitarbeiters...

LAPS wäre jedoch die bessere Wahl

Moin

Nennt sich "Eingeschränkte Gruppen" und lässt sich per GPO konfigurieren. Oder auch dort über GPPs.
vgl. https://www.windowspro.de/wolfgang-sommergut/lokale-gruppen-benutzer-ueb ...

Gruß

Hi,

Was du willst lässt sich via Restricted Groups sehr gut umsetzen:

Fehler: Die Verbindung wurde abgelehnt, da das Benutzerkonto nicht zur Remoteanmeldung autorisiert ist

Hi, wie die Kollegen schon sagten "Eingeschränkte Gruppen".
Ich persönlich würde aber wie em-pie schon sagte auf LAPS setzen und dem User nicht so viele Berechtigungen geben.

Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.

Moin..

Zitat von @DerWoWusste:

Ich würde LAPS LAPS sein lassen und Konten nehmen, die auch im Netzwerk was reißen können (LAPS verwendet lokale Nutzer!): Sicherer Umgang mit Supportkonten
Bei dem Konzept hat man wie bei LAPS Adminrechte pro PC. Unbedingt Adminkonten vermeiden, die überall Admins sind.

das sehe ich genauso!

Frank

"https://thesysadminchannel.com/add-local-administrators-via-gpo-group-policy/" finde ich sehr handy, aber mir als GPO-Gelegenheitsuser erschließt sich noch nicht, wie ich auf diese Weise verschiedenen Gruppen Rechte auf Workstations ODER Server geben kann. So wie es dort beschrieben ist, trifft die GPO doch alle Systeme?!

Wenn ihr dazu noch Hinweise habt ..?
Danke

Moin,

So wie es dort beschrieben ist, trifft die GPO doch alle Systeme?!

bitte den Absatz nochmals lesen:

Apply the Group Policy to your Organizational Unit
Right Click your preferred OU and select Link an Existing GPO
Select Local Administrators – Servers GPO
Close out of GPMC.

Alternativ kannst du auch einen WMI Filter nehmen oder eben eine Sicherheitsgruppe definieren, auf welche die GPO anwendet werden kann.

Gruß,
Dani

Frage Windows 10

Mehr von winacker

Windows 10 Boot Reparatur. Help!winacker - 10 Kommentare

Adobe PRO -Produkt wird in xx Tagen deaktiviert-Kaufe neu.winacker - 8 Kommentare

AD-Admin mit beschränkten Rechten möglich?winacker - 14 Kommentare

W11 AD-Zugang wird gesperrt durch Hintergrundprogramm- wie finde ich das?winacker - 10 Kommentare

Heiß diskutiert