10
Administrative Accounts in der Domäne
Hallo Community,
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.
Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?
Wäre cool wenn ihr da euch mal mitteilen könntet.
Dankeschön
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.
Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?
Wäre cool wenn ihr da euch mal mitteilen könntet.
Dankeschön
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 524224
Url: https://administrator.de/contentid/524224
Printed on: April 27, 2024 at 05:04 o'clock
10 Comments
Latest comment
Hi,
in meinen ADs handhabe ich das wie folgt:
Es gibt eine Gruppe Namens "LocalAdmin" welche auf den Clients per GPO zu den Lokalen Administratoren hinzugefügt wird.
Nun kann ich in der AD per Gruppenzuweisung festlegen, wer Lokale Adminberechtigungen hat. In der Gruppe sind daher alle User mit Adminrechten aufgeführt.
Sofern die Berechtigung eines Users nur auf einem bestimmten Client vorhanden sein soll, so weiß ich keine einfache Lösung. Dieser Fall kam mir bislang nicht unter.
Gruß
Craydon
in meinen ADs handhabe ich das wie folgt:
Es gibt eine Gruppe Namens "LocalAdmin" welche auf den Clients per GPO zu den Lokalen Administratoren hinzugefügt wird.
Nun kann ich in der AD per Gruppenzuweisung festlegen, wer Lokale Adminberechtigungen hat. In der Gruppe sind daher alle User mit Adminrechten aufgeführt.
Sofern die Berechtigung eines Users nur auf einem bestimmten Client vorhanden sein soll, so weiß ich keine einfache Lösung. Dieser Fall kam mir bislang nicht unter.
Gruß
Craydon
Moin
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Ja, nämlich niemand außer unsere GF.
Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.
Sollten wie gesagt keine drin stehen . Kann man mit GPO's regeln
Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?
Dokumentation
Wäre cool wenn ihr da euch mal mitteilen könntet.
Dankeschön
Dankeschön
Bitte
Hey ,
Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
Auf den Clients hat niemand Adminrechte. Es gibt den lokalen Administrator und dessen PW wird mit LAPS gemanaged.
Für die seltenen Fälle, das jemand Adminrechte braucht, kann er das temporäre PW gerne anfragen.
Eine Überwachung des Eventlogs stellt sicher, das keiner auf die schlaue Idee kommt sich selbst als Admin einzutragen bzw sich einen eigenen Admin anzulegen.
Bzw dazu gibt's auch eine GPO, die die lokale Administratorgruppe festlegt.
Für die seltenen Fälle, das jemand Adminrechte braucht, kann er das temporäre PW gerne anfragen.
Eine Überwachung des Eventlogs stellt sicher, das keiner auf die schlaue Idee kommt sich selbst als Admin einzutragen bzw sich einen eigenen Admin anzulegen.
Bzw dazu gibt's auch eine GPO, die die lokale Administratorgruppe festlegt.
Die Frage ist nicht beantwortet, oder?
Du kannst mit einem geplanten Task beispielsweise täglich ein Powershellskript loslassen, dass die Admins ausliest und in eine Datei schreibt, nachdem es alle erwarteten rausgefiltert hat. Ist die Dateigröße dann 0KB, weißt Du, dass alles ok ist.
Oder besser, weil sprachneutral:
PS: aber Vorsicht, das Kommando hat einen Bug und läuft nicht immer 100%, siehe https://github.com/PowerShell/PowerShell/issues/7105
Du kannst mit einem geplanten Task beispielsweise täglich ein Powershellskript loslassen, dass die Admins ausliest und in eine Datei schreibt, nachdem es alle erwarteten rausgefiltert hat. Ist die Dateigröße dann 0KB, weißt Du, dass alles ok ist.
Get-LocalGroupMember -Group Administratoren | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\share\$env:computername.txtGet-LocalGroupMember -sid S-1-5-32-544 | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\share\$env:computername.txt
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Ja. Ausschließlich die Admins mit ihren administrativen Accounts. Sonst niemand.
Manuel
Ja über ein Script wollte ich das eher nicht machen, denn dort ist die Trackbarkeit ja nicht wirklich Komfortabel. Man müsste ja in jede TXT schauen usw ....
Ich hatte auf einen eleganteren Weg gehofft.
Ich hatte auf einen eleganteren Weg gehofft.
Man müsste ja in jede TXT schauen usw
Nein. Ich habe doch genau geschrieben, dass im Normalfall 0KB als Dateigröße zu erwarten sind. Nur wenn man 1 KB sieht, hat man einen Rechner gefunden, der weitere Admins besitzt, als die anzunehmenden, die aus dem Output ja rausgefiltert werden.Du kannst das Skript erweitern, dass es jedesmal eine Mail schickt, wenn weitere Admins gefunden wurden, wenn Du magst, aber ich halte das für Unsinn wg. Mailflut (wiederkehrend bei jeder Task-Execution).
Zitat von @daquick:
Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
Dann mach es statt mit GPO per GPP. Der erste Schritt in der Sequenz ist das Leeren der lokalen Admingruppe, bevor dann die benötigten Admins hinzugefügt werden. Funktioniert in kleinen Umgebungen auch Client-individuell (mit Rücksicht auf den Umfang der Policies). Die GPP lassen sich als XML copy&pasten und dementsprechend auch geskriptet vorbereiten.
Beste Grüße
Richard
Bei uns hat nur eine ganz kleine Gruppe lokale Adminrechte. Lokal angelegte Admin-Accounts werden täglich per GPO gelöscht, bzw. wird das unterbunden.
1