10
Benutzer in Administratorgruppe hinzufügen ohne Adminrechte
Hallo zusammen
Ich habe ein Problem und zwar:
Ich habe EINEN lokalen Benutzer "Admin", jedoch ohne Adminrechte, dass nur weil ich diesen Laptop in eine Domäne genommen habe und so dieser Admin aus der Administratorgruppe durch eine Sicherheitsrichtlinie entfernt wurde.
Meine Frage lautet, ist es möglich den vor konfigurierten Administrator zu aktivieren oder den Admin Benutzer in der Administratorgruppe hinzuzufügen ohne das man Adminrechte hat?
Danke für eure Antwort
Gruss
Ich habe ein Problem und zwar:
Ich habe EINEN lokalen Benutzer "Admin", jedoch ohne Adminrechte, dass nur weil ich diesen Laptop in eine Domäne genommen habe und so dieser Admin aus der Administratorgruppe durch eine Sicherheitsrichtlinie entfernt wurde.
Meine Frage lautet, ist es möglich den vor konfigurierten Administrator zu aktivieren oder den Admin Benutzer in der Administratorgruppe hinzuzufügen ohne das man Adminrechte hat?
Danke für eure Antwort
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4107783768
Url: https://administrator.de/contentid/4107783768
Printed on: April 26, 2024 at 01:04 o'clock
10 Comments
Latest comment
Hi,
ein Domänenbeitritt bedeutet, dass man die Verwaltung des Computers an die Domäne - sprich deren Administratoren - abgibt.
Wende Dich an einen der Domänenadministratoren. Da werden Sie geholfen.
E.
ein Domänenbeitritt bedeutet, dass man die Verwaltung des Computers an die Domäne - sprich deren Administratoren - abgibt.
Wende Dich an einen der Domänenadministratoren. Da werden Sie geholfen.
E.
1
Kurze Antwort: Nein
Und selbst wenn du Adminrechte besitzt, die GPO wird erneut die lokale Administratorengruppe "säubern", wenn der Computer eine Verbindung zum DC hat.
Und selbst wenn du Adminrechte besitzt, die GPO wird erneut die lokale Administratorengruppe "säubern", wenn der Computer eine Verbindung zum DC hat.
1
Moin,
mal kurz nachgedacht: du möchtest, dass ein nicht privilegierter Benutzer sich mir nix dir nix zum Admin machen kann - de facto eine Rechteausweitung. Das würde ja jedes Rechte- und Sicherheitskonzept über den Haufen werfen.
Keine gute Idee, gell? Oder wie oben steht: nö, geht nicht.
Was aber eine Überlegung wert ist, ist, sich mit einem definierten, lokalen Admin (der von der Lösch-GPO ausgenommen ist) auf den Domänen-PCs eine Rückfallebene für Wartungszwecke offen zu halten. Das Stichwort für so ein Konzept ist „Local Administrator Password Solution (LAPS)“. Mit LAPS in der Forumsuche findest du einiges zum Thema.
Ansprechpartner zur Umsetzung sind wiederum die Domänen-Admins und der-/diejenige, der das Sicherheitskonzept zu verantworten hat.
Gruß
TA
mal kurz nachgedacht: du möchtest, dass ein nicht privilegierter Benutzer sich mir nix dir nix zum Admin machen kann - de facto eine Rechteausweitung. Das würde ja jedes Rechte- und Sicherheitskonzept über den Haufen werfen.
Keine gute Idee, gell? Oder wie oben steht: nö, geht nicht.
Was aber eine Überlegung wert ist, ist, sich mit einem definierten, lokalen Admin (der von der Lösch-GPO ausgenommen ist) auf den Domänen-PCs eine Rückfallebene für Wartungszwecke offen zu halten. Das Stichwort für so ein Konzept ist „Local Administrator Password Solution (LAPS)“. Mit LAPS in der Forumsuche findest du einiges zum Thema.
Ansprechpartner zur Umsetzung sind wiederum die Domänen-Admins und der-/diejenige, der das Sicherheitskonzept zu verantworten hat.
Gruß
TA
Hat schon jemand LAPS mit Windows 11 22H2 in Umgebungen getestet, in denen das "alte" LAPS vorher lief.
@2423392070 Könnte meine Kollegen fragen, die Win 11 testen, ob die schon 22H2 drauf haben. Ansonsten fahren wir in der Breite noch Win 10.
Schwebt dir ein besonderes Verhalten oder eine Auffälligkeit vor Augen, dass du fragst?
Schwebt dir ein besonderes Verhalten oder eine Auffälligkeit vor Augen, dass du fragst?
Konkret ist es bei uns so, dass die Domainencontroller ohne Gui sind und LAPS per Powershell gepflegt und ausgewertet wurde.
Mit dem aktuellen Windows 11 ist LAPS Out of the Box dabei und hat neue CMDlets.
Windows 10 hat dahin gehend noch kein Update erhalten.
Ich würde mich auf Erfahrungen aus der Praxis freuen uns gemischten Umgebungen.
Mit dem aktuellen Windows 11 ist LAPS Out of the Box dabei und hat neue CMDlets.
Windows 10 hat dahin gehend noch kein Update erhalten.
Ich würde mich auf Erfahrungen aus der Praxis freuen uns gemischten Umgebungen.
Mahlzeit.
Cheers,
jsysde
Zitat von @2423392070:
Hat schon jemand LAPS mit Windows 11 22H2 in Umgebungen getestet, in denen das "alte" LAPS vorher lief.
Ja - klappt eher suboptimal, da das "neue" LAPS andere CMDLets und ADMX-Templates mitbringt. Ich hab' die Versuche nach einer Weile Trial&Error abgebrochen, die Doku dazu war da noch sehr dünn (ist jetzt ca. 3 bis 4 Wochen her). Anders gesagt: Bestehende LAPS-Konfiguration wird auf Windows 11 _nicht!_ angewendet!Hat schon jemand LAPS mit Windows 11 22H2 in Umgebungen getestet, in denen das "alte" LAPS vorher lief.
Cheers,
jsysde
Zitat von @jsysde:
Mahlzeit.
Cheers,
jsysde
Mahlzeit.
Zitat von @2423392070:
Hat schon jemand LAPS mit Windows 11 22H2 in Umgebungen getestet, in denen das "alte" LAPS vorher lief.
Ja - klappt eher suboptimal, da das "neue" LAPS andere CMDLets und ADMX-Templates mitbringt. Ich hab' die Versuche nach einer Weile Trial&Error abgebrochen, die Doku dazu war da noch sehr dünn (ist jetzt ca. 3 bis 4 Wochen her). Anders gesagt: Bestehende LAPS-Konfiguration wird auf Windows 11 _nicht!_ angewendet!Hat schon jemand LAPS mit Windows 11 22H2 in Umgebungen getestet, in denen das "alte" LAPS vorher lief.
Cheers,
jsysde
Mein Bauchgefühl sagte mir, da kommen Überraschungen.
Hattest Du geprüft ob eine eigene OU oder andere Einschränkungen der GPO ein Weg sind?
Mahlzeit.
Gibt es mittlerweile eine offizielle Doku dazu, die über die Beschreibung der CMDLets hinausgeht?
In Ermangelung einer solchen hatte ich den Versuch seinerzeit nach ca. zwei Stunden abgebrochen.
Cheers,
jsysde
EDITH:
In gemischten Umgebungen sehe ich da einige Probleme Herausforderungen. Ähnlich wie die vernünftige Verwaltung von GPOs.
Zitat von @2423392070:
[...]Hattest Du geprüft ob eine eigene OU oder andere Einschränkungen der GPO ein Weg sind?
Eigene OU gebaut, Win11-Büchse dort rein geschoben. Per PowerShell "nach bestem Wissen und Gewissen" die Rechte auf der OU gesetzt. Sichtbar ist der "LAPS"-Tab in den Eigenschaften des Computer-Objekts des Win11-Rechnerrs auch nur von einem Win11 per RSAT - auf nem Server 2022 zeigt ADUC den Tab erst gar nicht an. Trotz mehrfacher Neustarts und Versuche wurde aber nie ein Passwort in die neuen Attribute geschrieben - die heißen jetzt auch anders, als das bisher bei LAPS der Fall war.[...]Hattest Du geprüft ob eine eigene OU oder andere Einschränkungen der GPO ein Weg sind?
Gibt es mittlerweile eine offizielle Doku dazu, die über die Beschreibung der CMDLets hinausgeht?
In Ermangelung einer solchen hatte ich den Versuch seinerzeit nach ca. zwei Stunden abgebrochen.
Cheers,
jsysde
EDITH:
In gemischten Umgebungen sehe ich da einige
Wenn der Account "Admin" in der lokalen Administratoren-Gruppe ist, dann hat er auch Admin-Rechte auf dem Notebook. Dafür ist die Gruppe ja da.
Wenn die Richtlinie die Administratorengruppe regelmäßig putzt, dann fliegt er da halt wieder raus.
Wenn die Richtlinie die Administratorengruppe regelmäßig putzt, dann fliegt er da halt wieder raus.
