AD wie mit lokalen Benutzern umgehen
Guten Morgen zusammen
Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für die Domäne hat dieser PC für gewöhnlich einen lokalen Benutzer. Also nicht die vordefinierten Konten wie Administrator oder Gast, sondern den Benutzer den man selbst eingerichtet hat um dem PC einzurichten.
Wie verfahrt ihr mit diesem Benutzer nachdem der PC in die Domäne aufgenommen worden ist? Deaktiviert ihr ihn oder sogar Löschen? Oder gebt ihr dem Benutzer ein Passwort das nur den Domänenadmins bekannt ist?
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Oder was denkt ihr dazu?
Danke für euer Input.
Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für die Domäne hat dieser PC für gewöhnlich einen lokalen Benutzer. Also nicht die vordefinierten Konten wie Administrator oder Gast, sondern den Benutzer den man selbst eingerichtet hat um dem PC einzurichten.
Wie verfahrt ihr mit diesem Benutzer nachdem der PC in die Domäne aufgenommen worden ist? Deaktiviert ihr ihn oder sogar Löschen? Oder gebt ihr dem Benutzer ein Passwort das nur den Domänenadmins bekannt ist?
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Oder was denkt ihr dazu?
Danke für euer Input.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294471
Url: https://administrator.de/forum/ad-wie-mit-lokalen-benutzern-umgehen-294471.html
Ausgedruckt am: 04.04.2025 um 17:04 Uhr
14 Kommentare
Neuester Kommentar

alle user werden von uns entfernt und nur der lokale Admin überlassen. Das Passwort bewahrt wir auf.
Wer physikalischen Zugriff auf das System hat, kommt immer an die Daten auf dem Gerät, solange die Festplatten unverschlüsselt sind.
Wer physikalischen Zugriff auf das System hat, kommt immer an die Daten auf dem Gerät, solange die Festplatten unverschlüsselt sind.
Moin,
mal ne blöde Frage, wieso hebst Du den PC nicht in die Domäne und konfigurierst ihn dann?
Dafür brauchst Du aber physikalischen Zugang zum Rechner. Ich habe mir sagen lassen, dass Angriffe auch remote erfolgen können... Sollte das stimmen, könnte ein 12345678-Passwort fahrlässig sein...
Gruß
mal ne blöde Frage, wieso hebst Du den PC nicht in die Domäne und konfigurierst ihn dann?
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Gruß

Servus,
ich mache das im Prinzip so wie MichaelP08:
Wenn ein neuer Rechner kommt logge ich mich mit dem normalen Benutzer (heißt bei mir meistens "User") ein, aktiviere das lokale Admin-Konto, setze ein Passwort, deaktiviere den "User". Danach als lokaler Admin einloggen, in die Domäne einbinden, neu starten. Ab dann arbeite ich nur mehr mit meinem AD-Admin Konto.
Was (gerade bei jungen Admins) leider gerne gemacht wird: EIN Passwort für alle lokalen Admin Konten. Vermeide sowas bitte! Wenn ein User das mal mitbekommen sollte ist das Chaos perfekt. Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)
ich mache das im Prinzip so wie MichaelP08:
Wenn ein neuer Rechner kommt logge ich mich mit dem normalen Benutzer (heißt bei mir meistens "User") ein, aktiviere das lokale Admin-Konto, setze ein Passwort, deaktiviere den "User". Danach als lokaler Admin einloggen, in die Domäne einbinden, neu starten. Ab dann arbeite ich nur mehr mit meinem AD-Admin Konto.
Was (gerade bei jungen Admins) leider gerne gemacht wird: EIN Passwort für alle lokalen Admin Konten. Vermeide sowas bitte! Wenn ein User das mal mitbekommen sollte ist das Chaos perfekt. Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
Zitat von @121016:
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.

Zitat von @ArnoNymous:
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
Zitat von @121016:
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp
Hallo,
stimmt.
Aber das Passwort sollte auch nicht innerhalb der Domäne verwendet werden.
Denn es ist in 2-4 Stunden möglich das Passwort der lokalen Benutzerzu entschlüsseln, wenn nun Domänenadmin und lokaler admin das selbe Passwort haben, blöd.
Den LAPS Ansatz schaue ich mir mal an, klingt sehr interesannt.
Gruß
Chonta
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
stimmt.
Aber das Passwort sollte auch nicht innerhalb der Domäne verwendet werden.
Denn es ist in 2-4 Stunden möglich das Passwort der lokalen Benutzerzu entschlüsseln, wenn nun Domänenadmin und lokaler admin das selbe Passwort haben, blöd.
Den LAPS Ansatz schaue ich mir mal an, klingt sehr interesannt.
Gruß
Chonta

Zitat von @121016:
oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp
Zitat von @ArnoNymous:
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
Zitat von @121016:
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp
Gleichmal bei uns in die Verbesserungsvorschläge aufgenommen
Servus,
hierzu mal als (deutschsprachiges) Info:
http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endli ...
Wichtig scheint aber der dort an letzter Stelle angebrachte Hinweis (tlw. Zitat):
...
Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.
...
Gruß
VGem-e
hierzu mal als (deutschsprachiges) Info:
http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endli ...
Wichtig scheint aber der dort an letzter Stelle angebrachte Hinweis (tlw. Zitat):
...
Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.
...
Gruß
VGem-e
Ein lokales Konto hat man immer. Den Adminstrator.
Bevor man den PC aus der Domäne nimmt, aktiviert man diesen Account und setzt das Passwort zurück, wenn man es nicht kennt, oder man erstellt einen neuen Benutzer mit Adminrechten.
Sollte man das vergessen, gibt es noch andere Mittel und Wege einen Benutzer zu aktivieren/erstellen. Mittels Boot-CD ect.
Bevor man den PC aus der Domäne nimmt, aktiviert man diesen Account und setzt das Passwort zurück, wenn man es nicht kennt, oder man erstellt einen neuen Benutzer mit Adminrechten.
Sollte man das vergessen, gibt es noch andere Mittel und Wege einen Benutzer zu aktivieren/erstellen. Mittels Boot-CD ect.