daquick
Goto Top

Administrative Accounts in der Domäne

Hallo Community,

ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?

Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.

Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?

Wäre cool wenn ihr da euch mal mitteilen könntet.

Dankeschön

Content-ID: 524224

Url: https://administrator.de/contentid/524224

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

Craydon
Craydon 11.12.2019 um 11:37:21 Uhr
Goto Top
Hi,

in meinen ADs handhabe ich das wie folgt:

Es gibt eine Gruppe Namens "LocalAdmin" welche auf den Clients per GPO zu den Lokalen Administratoren hinzugefügt wird.

Nun kann ich in der AD per Gruppenzuweisung festlegen, wer Lokale Adminberechtigungen hat. In der Gruppe sind daher alle User mit Adminrechten aufgeführt.

Sofern die Berechtigung eines Users nur auf einem bestimmten Client vorhanden sein soll, so weiß ich keine einfache Lösung. Dieser Fall kam mir bislang nicht unter.

Gruß
Craydon
itisnapanto
itisnapanto 11.12.2019 um 11:46:26 Uhr
Goto Top
Zitat von @daquick:

Hallo Community,

Moin

ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?

Ja, nämlich niemand außer unsere GF.

Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.

Sollten wie gesagt keine drin stehen . Kann man mit GPO's regeln

Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?

Dokumentation

Wäre cool wenn ihr da euch mal mitteilen könntet.

Dankeschön

Bitte
daquick
daquick 11.12.2019 um 12:10:34 Uhr
Goto Top
Hey ,

Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
SeaStorm
SeaStorm 11.12.2019 um 12:14:46 Uhr
Goto Top
Auf den Clients hat niemand Adminrechte. Es gibt den lokalen Administrator und dessen PW wird mit LAPS gemanaged.
Für die seltenen Fälle, das jemand Adminrechte braucht, kann er das temporäre PW gerne anfragen.

Eine Überwachung des Eventlogs stellt sicher, das keiner auf die schlaue Idee kommt sich selbst als Admin einzutragen bzw sich einen eigenen Admin anzulegen.
Bzw dazu gibt's auch eine GPO, die die lokale Administratorgruppe festlegt.
DerWoWusste
DerWoWusste 11.12.2019 aktualisiert um 13:49:24 Uhr
Goto Top
Die Frage ist nicht beantwortet, oder?

Du kannst mit einem geplanten Task beispielsweise täglich ein Powershellskript loslassen, dass die Admins ausliest und in eine Datei schreibt, nachdem es alle erwarteten rausgefiltert hat. Ist die Dateigröße dann 0KB, weißt Du, dass alles ok ist.
Get-LocalGroupMember -Group Administratoren | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\share\$env:computername.txt
Oder besser, weil sprachneutral:
Get-LocalGroupMember -sid S-1-5-32-544 | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\share\$env:computername.txt
PS: aber Vorsicht, das Kommando hat einen Bug und läuft nicht immer 100%, siehe https://github.com/PowerShell/PowerShell/issues/7105
manuel-r
manuel-r 11.12.2019 um 23:01:20 Uhr
Goto Top
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?

Ja. Ausschließlich die Admins mit ihren administrativen Accounts. Sonst niemand.

Manuel
daquick
daquick 13.12.2019 um 11:57:19 Uhr
Goto Top
Ja über ein Script wollte ich das eher nicht machen, denn dort ist die Trackbarkeit ja nicht wirklich Komfortabel. Man müsste ja in jede TXT schauen usw ....

Ich hatte auf einen eleganteren Weg gehofft.
DerWoWusste
DerWoWusste 13.12.2019 um 13:15:16 Uhr
Goto Top
Man müsste ja in jede TXT schauen usw
Nein. Ich habe doch genau geschrieben, dass im Normalfall 0KB als Dateigröße zu erwarten sind. Nur wenn man 1 KB sieht, hat man einen Rechner gefunden, der weitere Admins besitzt, als die anzunehmenden, die aus dem Output ja rausgefiltert werden.

Du kannst das Skript erweitern, dass es jedesmal eine Mail schickt, wenn weitere Admins gefunden wurden, wenn Du magst, aber ich halte das für Unsinn wg. Mailflut (wiederkehrend bei jeder Task-Execution).
C.R.S.
C.R.S. 17.12.2019 um 01:21:25 Uhr
Goto Top
Zitat von @daquick:

Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.

Dann mach es statt mit GPO per GPP. Der erste Schritt in der Sequenz ist das Leeren der lokalen Admingruppe, bevor dann die benötigten Admins hinzugefügt werden. Funktioniert in kleinen Umgebungen auch Client-individuell (mit Rücksicht auf den Umfang der Policies). Die GPP lassen sich als XML copy&pasten und dementsprechend auch geskriptet vorbereiten.

Beste Grüße
Richard
mayho33
mayho33 09.01.2020 um 17:25:06 Uhr
Goto Top
Bei uns hat nur eine ganz kleine Gruppe lokale Adminrechte. Lokal angelegte Admin-Accounts werden täglich per GPO gelöscht, bzw. wird das unterbunden.