14
AD wie mit lokalen Benutzern umgehen
Guten Morgen zusammen
Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für die Domäne hat dieser PC für gewöhnlich einen lokalen Benutzer. Also nicht die vordefinierten Konten wie Administrator oder Gast, sondern den Benutzer den man selbst eingerichtet hat um dem PC einzurichten.
Wie verfahrt ihr mit diesem Benutzer nachdem der PC in die Domäne aufgenommen worden ist? Deaktiviert ihr ihn oder sogar Löschen? Oder gebt ihr dem Benutzer ein Passwort das nur den Domänenadmins bekannt ist?
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Oder was denkt ihr dazu?
Danke für euer Input.
Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für die Domäne hat dieser PC für gewöhnlich einen lokalen Benutzer. Also nicht die vordefinierten Konten wie Administrator oder Gast, sondern den Benutzer den man selbst eingerichtet hat um dem PC einzurichten.
Wie verfahrt ihr mit diesem Benutzer nachdem der PC in die Domäne aufgenommen worden ist? Deaktiviert ihr ihn oder sogar Löschen? Oder gebt ihr dem Benutzer ein Passwort das nur den Domänenadmins bekannt ist?
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Oder was denkt ihr dazu?
Danke für euer Input.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294471
Url: https://administrator.de/forum/ad-wie-mit-lokalen-benutzern-umgehen-294471.html
Ausgedruckt am: 04.04.2025 um 17:04 Uhr
14 Kommentare
Neuester Kommentar
alle user werden von uns entfernt und nur der lokale Admin überlassen. Das Passwort bewahrt wir auf.
Wer physikalischen Zugriff auf das System hat, kommt immer an die Daten auf dem Gerät, solange die Festplatten unverschlüsselt sind.
Wer physikalischen Zugriff auf das System hat, kommt immer an die Daten auf dem Gerät, solange die Festplatten unverschlüsselt sind.
Moin,
mal ne blöde Frage, wieso hebst Du den PC nicht in die Domäne und konfigurierst ihn dann?
Dafür brauchst Du aber physikalischen Zugang zum Rechner. Ich habe mir sagen lassen, dass Angriffe auch remote erfolgen können... Sollte das stimmen, könnte ein 12345678-Passwort fahrlässig sein...
Gruß
mal ne blöde Frage, wieso hebst Du den PC nicht in die Domäne und konfigurierst ihn dann?
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Gruß
Ja gut gäbe ich schon recht mit dem Remoteangriff. Wollte nur wissen ob ihr es trotzdem als Sinnvoll ansieht den Benutzer stehen zu lassen
Klar werden die PCs in der Domäne konfiguriert. Aber es gibt oft ein paar kleine Voreinstellungen die gemacht werden. Oder um den PC überhaupt in die Domäne aufzunehmen.
Klar werden die PCs in der Domäne konfiguriert. Aber es gibt oft ein paar kleine Voreinstellungen die gemacht werden. Oder um den PC überhaupt in die Domäne aufzunehmen.
Servus,
ich mache das im Prinzip so wie MichaelP08:
Wenn ein neuer Rechner kommt logge ich mich mit dem normalen Benutzer (heißt bei mir meistens "User") ein, aktiviere das lokale Admin-Konto, setze ein Passwort, deaktiviere den "User". Danach als lokaler Admin einloggen, in die Domäne einbinden, neu starten. Ab dann arbeite ich nur mehr mit meinem AD-Admin Konto.
Was (gerade bei jungen Admins) leider gerne gemacht wird: EIN Passwort für alle lokalen Admin Konten. Vermeide sowas bitte! Wenn ein User das mal mitbekommen sollte ist das Chaos perfekt. Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)
ich mache das im Prinzip so wie MichaelP08:
Wenn ein neuer Rechner kommt logge ich mich mit dem normalen Benutzer (heißt bei mir meistens "User") ein, aktiviere das lokale Admin-Konto, setze ein Passwort, deaktiviere den "User". Danach als lokaler Admin einloggen, in die Domäne einbinden, neu starten. Ab dann arbeite ich nur mehr mit meinem AD-Admin Konto.
Was (gerade bei jungen Admins) leider gerne gemacht wird: EIN Passwort für alle lokalen Admin Konten. Vermeide sowas bitte! Wenn ein User das mal mitbekommen sollte ist das Chaos perfekt. Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)
Moin.
Wir nehmen bei manueller Einrichtung immer ein spezielles Konto (Firmenname) und dieses wird per GPO sofort gelöscht, wenn man der Domäne beitritt.
Wir nehmen bei manueller Einrichtung immer ein spezielles Konto (Firmenname) und dieses wird per GPO sofort gelöscht, wenn man der Domäne beitritt.
Zitat von @121016:
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar )
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
1Zitat von @ArnoNymous:
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
Zitat von @121016:
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar )
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp
Hallo,
stimmt.
Aber das Passwort sollte auch nicht innerhalb der Domäne verwendet werden.
Denn es ist in 2-4 Stunden möglich das Passwort der lokalen Benutzerzu entschlüsseln, wenn nun Domänenadmin und lokaler admin das selbe Passwort haben, blöd.
Den LAPS Ansatz schaue ich mir mal an, klingt sehr interesannt.
Gruß
Chonta
Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
stimmt.
Aber das Passwort sollte auch nicht innerhalb der Domäne verwendet werden.
Denn es ist in 2-4 Stunden möglich das Passwort der lokalen Benutzerzu entschlüsseln, wenn nun Domänenadmin und lokaler admin das selbe Passwort haben, blöd.
Den LAPS Ansatz schaue ich mir mal an, klingt sehr interesannt.
Gruß
Chonta
Zitat von @121016:
oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp
Zitat von @ArnoNymous:
Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
Zitat von @121016:
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar )
Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar
)Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp
Gleichmal bei uns in die Verbesserungsvorschläge aufgenommen
Danke für den Tipp!
Hallo,
bei uns werden die per WDS installiert und während der Installation mit einem im AD hinterlegten "join-domain-user" ins AD gehoben, nach der Installation haben wir dann Service-Accounts für weitere Konfig.
bei uns werden die per WDS installiert und während der Installation mit einem im AD hinterlegten "join-domain-user" ins AD gehoben, nach der Installation haben wir dann Service-Accounts für weitere Konfig.
Servus,
hierzu mal als (deutschsprachiges) Info:
http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endli ...
Wichtig scheint aber der dort an letzter Stelle angebrachte Hinweis (tlw. Zitat):
...
Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.
...
Gruß
VGem-e
hierzu mal als (deutschsprachiges) Info:
http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endli ...
Wichtig scheint aber der dort an letzter Stelle angebrachte Hinweis (tlw. Zitat):
...
Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.
...
Gruß
VGem-e
Vielen Dank für die Zahlreichen vorschläge. LAPS werde ich mir auch anschauen!
Es gibt doch auch mal Fälle, das man den PC aus der Domäne wieder entfernen muss. Wie geht ihr damit um, wenn der PC kein lokales Konto mehr hat. Dann kann man sich ja nicht mehr Anmelden?
Es gibt doch auch mal Fälle, das man den PC aus der Domäne wieder entfernen muss. Wie geht ihr damit um, wenn der PC kein lokales Konto mehr hat. Dann kann man sich ja nicht mehr Anmelden?
Hi.
Wenn man ihn von der Domäne entfernen muss, aktiviert man zuvor den lokalen Administrator.
Wenn der Rechner die Vertrauensstellung zur Domäne bereits verloren hat, nimmt man Bootdisks und aktiviert den lokalen Admin auf diese Weise (Nordahl oder utilman).
Wenn man ihn von der Domäne entfernen muss, aktiviert man zuvor den lokalen Administrator.
Wenn der Rechner die Vertrauensstellung zur Domäne bereits verloren hat, nimmt man Bootdisks und aktiviert den lokalen Admin auf diese Weise (Nordahl oder utilman).
1
Ein lokales Konto hat man immer. Den Adminstrator.
Bevor man den PC aus der Domäne nimmt, aktiviert man diesen Account und setzt das Passwort zurück, wenn man es nicht kennt, oder man erstellt einen neuen Benutzer mit Adminrechten.
Sollte man das vergessen, gibt es noch andere Mittel und Wege einen Benutzer zu aktivieren/erstellen. Mittels Boot-CD ect.
Bevor man den PC aus der Domäne nimmt, aktiviert man diesen Account und setzt das Passwort zurück, wenn man es nicht kennt, oder man erstellt einen neuen Benutzer mit Adminrechten.
Sollte man das vergessen, gibt es noch andere Mittel und Wege einen Benutzer zu aktivieren/erstellen. Mittels Boot-CD ect.
