Administrative Accounts in der Domäne
Hallo Community,
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.
Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?
Wäre cool wenn ihr da euch mal mitteilen könntet.
Dankeschön
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.
Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?
Wäre cool wenn ihr da euch mal mitteilen könntet.
Dankeschön
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 524224
Url: https://administrator.de/contentid/524224
Ausgedruckt am: 05.11.2024 um 08:11 Uhr
10 Kommentare
Neuester Kommentar
Hi,
in meinen ADs handhabe ich das wie folgt:
Es gibt eine Gruppe Namens "LocalAdmin" welche auf den Clients per GPO zu den Lokalen Administratoren hinzugefügt wird.
Nun kann ich in der AD per Gruppenzuweisung festlegen, wer Lokale Adminberechtigungen hat. In der Gruppe sind daher alle User mit Adminrechten aufgeführt.
Sofern die Berechtigung eines Users nur auf einem bestimmten Client vorhanden sein soll, so weiß ich keine einfache Lösung. Dieser Fall kam mir bislang nicht unter.
Gruß
Craydon
in meinen ADs handhabe ich das wie folgt:
Es gibt eine Gruppe Namens "LocalAdmin" welche auf den Clients per GPO zu den Lokalen Administratoren hinzugefügt wird.
Nun kann ich in der AD per Gruppenzuweisung festlegen, wer Lokale Adminberechtigungen hat. In der Gruppe sind daher alle User mit Adminrechten aufgeführt.
Sofern die Berechtigung eines Users nur auf einem bestimmten Client vorhanden sein soll, so weiß ich keine einfache Lösung. Dieser Fall kam mir bislang nicht unter.
Gruß
Craydon
Moin
ich wollte mal hören ob ihr in eurer Domäne den Überblick habt wer alles Lokale Adminrechte auf den Systemen hat?
Ja, nämlich niemand außer unsere GF.
Es geht also darum das alle User / Domäne und auch Lokale User angezeigt werden die auf dem System in der Admingruppe sind.
Sollten wie gesagt keine drin stehen . Kann man mit GPO's regeln
Und wenn ja wie behaltet Ihr da den Überblick? Tools? Scripte?
Dokumentation
Wäre cool wenn ihr da euch mal mitteilen könntet.
Dankeschön
Dankeschön
Bitte
Auf den Clients hat niemand Adminrechte. Es gibt den lokalen Administrator und dessen PW wird mit LAPS gemanaged.
Für die seltenen Fälle, das jemand Adminrechte braucht, kann er das temporäre PW gerne anfragen.
Eine Überwachung des Eventlogs stellt sicher, das keiner auf die schlaue Idee kommt sich selbst als Admin einzutragen bzw sich einen eigenen Admin anzulegen.
Bzw dazu gibt's auch eine GPO, die die lokale Administratorgruppe festlegt.
Für die seltenen Fälle, das jemand Adminrechte braucht, kann er das temporäre PW gerne anfragen.
Eine Überwachung des Eventlogs stellt sicher, das keiner auf die schlaue Idee kommt sich selbst als Admin einzutragen bzw sich einen eigenen Admin anzulegen.
Bzw dazu gibt's auch eine GPO, die die lokale Administratorgruppe festlegt.
Die Frage ist nicht beantwortet, oder?
Du kannst mit einem geplanten Task beispielsweise täglich ein Powershellskript loslassen, dass die Admins ausliest und in eine Datei schreibt, nachdem es alle erwarteten rausgefiltert hat. Ist die Dateigröße dann 0KB, weißt Du, dass alles ok ist.
Oder besser, weil sprachneutral:
PS: aber Vorsicht, das Kommando hat einen Bug und läuft nicht immer 100%, siehe https://github.com/PowerShell/PowerShell/issues/7105
Du kannst mit einem geplanten Task beispielsweise täglich ein Powershellskript loslassen, dass die Admins ausliest und in eine Datei schreibt, nachdem es alle erwarteten rausgefiltert hat. Ist die Dateigröße dann 0KB, weißt Du, dass alles ok ist.
Get-LocalGroupMember -Group Administratoren | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\share\$env:computername.txt
Get-LocalGroupMember -sid S-1-5-32-544 | sls Administrator,Domänen-Admins -NotMatch | out-file \\server\share\$env:computername.txt
Man müsste ja in jede TXT schauen usw
Nein. Ich habe doch genau geschrieben, dass im Normalfall 0KB als Dateigröße zu erwarten sind. Nur wenn man 1 KB sieht, hat man einen Rechner gefunden, der weitere Admins besitzt, als die anzunehmenden, die aus dem Output ja rausgefiltert werden.Du kannst das Skript erweitern, dass es jedesmal eine Mail schickt, wenn weitere Admins gefunden wurden, wenn Du magst, aber ich halte das für Unsinn wg. Mailflut (wiederkehrend bei jeder Task-Execution).
Zitat von @daquick:
Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
Ja so ungefähr ist das bei mir auch, aber ich möchte z.b. Useraccounts finden die z.b. Per hand oä zugefügt wurden.
Dann mach es statt mit GPO per GPP. Der erste Schritt in der Sequenz ist das Leeren der lokalen Admingruppe, bevor dann die benötigten Admins hinzugefügt werden. Funktioniert in kleinen Umgebungen auch Client-individuell (mit Rücksicht auf den Umfang der Policies). Die GPP lassen sich als XML copy&pasten und dementsprechend auch geskriptet vorbereiten.
Beste Grüße
Richard