11
Berechtigung für externen Dienstleister als lokaler Administrator bereitstellen
Hallo zusammen,
ich wollte einfach mal nachfragen, wie ihr folgenden Zugriff bereitstellen würdet:
Benötigt wird ein Zugriff für einen ext. Dienstleister an einem anderen Standort. Das Netzwerk ist ein Domänennetzwerk.
Der Dienstleister soll für Einsätze an dem Standort, lokale Adminberechtigungen erhalten, um dort immer wieder mal Unterstützung zu leisten.
Wie mache ich das am besten aus der Ferne, ohne mich auf jede AS aufschalten zu müssen?
Gruß
ich wollte einfach mal nachfragen, wie ihr folgenden Zugriff bereitstellen würdet:
Benötigt wird ein Zugriff für einen ext. Dienstleister an einem anderen Standort. Das Netzwerk ist ein Domänennetzwerk.
Der Dienstleister soll für Einsätze an dem Standort, lokale Adminberechtigungen erhalten, um dort immer wieder mal Unterstützung zu leisten.
Wie mache ich das am besten aus der Ferne, ohne mich auf jede AS aufschalten zu müssen?
Gruß
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672070
Url: https://administrator.de/forum/berechtigung-fuer-externen-dienstleister-als-lokaler-administrator-bereitstellen-672070.html
Ausgedruckt am: 15.04.2025 um 19:04 Uhr
11 Kommentare
Neuester Kommentar
Wenn Du AS schreibst, unterscheidest du dabei zwischen Arbeitsstation und Servern? Braucht er auch auf Servern lokale Admin Rechte?
Wenn es auch um Server geht, würde ich das 3-Tier Modell empfehlen. Wenn es nur um die Arbeitsstationen geht, reicht es auch über Gruppenrichtlinien den User in die lokale Gruppe Administratoren hinzuzufügen.
Wenn es auch um Server geht, würde ich das 3-Tier Modell empfehlen. Wenn es nur um die Arbeitsstationen geht, reicht es auch über Gruppenrichtlinien den User in die lokale Gruppe Administratoren hinzuzufügen.
Zitat von @NordicMike:
Wenn Du AS schreibst, unterscheidest du dabei zwischen Arbeitsstation und Servern? Braucht er auch auf Servern lokale Admin Rechte?
Sorry, ich meinte nur Zugriff auf die lokalen ASWenn Du AS schreibst, unterscheidest du dabei zwischen Arbeitsstation und Servern? Braucht er auch auf Servern lokale Admin Rechte?
Wenn es auch um Server geht, würde ich das 3-Tier Modell empfehlen. Wenn es nur um die Arbeitsstationen geht, reicht es auch über Gruppenrichtlinien den User in die lokale Gruppe Administratoren hinzuzufügen.
Wie mache ich das per GPO?
Ist doch ganz easy,
VPN Profil für den Dienstleister erstellen. AD Konto erstellen und auf den entsprechenden Kisten den dann als lokaler Admin eintragen. Kannst manuell oder per GPO steuern.
Gruss
VPN Profil für den Dienstleister erstellen. AD Konto erstellen und auf den entsprechenden Kisten den dann als lokaler Admin eintragen. Kannst manuell oder per GPO steuern.
Gruss
Wir sind hier keine KI. Du darfst ruhig ein bisschen selbst recherchieren, z.B. die Google KI verwenden.
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
1Zitat von @NordicMike:
Wir sind hier keine KI. Du darfst ruhig ein bisschen selbst recherchieren, z.B. die Google KI verwenden.
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
Wir sind hier keine KI. Du darfst ruhig ein bisschen selbst recherchieren, z.B. die Google KI verwenden.
https://nocksoft.de/tutorials/lokale-administratorrechte-zentral-per-gpo ...
;)
Danke
Ich lass die bei mir per VPN nur auf den lokalen Server (auf dem auch nur das drauf ist, was von der Firma betreut/verkauft wird/wurde) und da haben dann den lokalen User mit den Rechten, die sie benötigen. Theoretisch ginge auch ein lokaler Admin. Kommt halt immer auf den Serve und auf die Branche an. Nicht immer muss man da einen riesen Bohei machen.
Sind personenbezogene Daten im Spiel -> AVV. Sind die nicht im Spiel, dann steht das bei denen im mit uns geschlossenen Vertrag.
Sind personenbezogene Daten im Spiel -> AVV. Sind die nicht im Spiel, dann steht das bei denen im mit uns geschlossenen Vertrag.
Moin @Tschakalaka
ich finde solche externen zugriffe immer für sehr problematisch.
ich hatte mal so einen fall, wo ein Hersteller für CNC Maschinen einen Netzwerkzugang haben wollte auf die von ihm hergestellten Maschinen bei der Nutzerfirma, für die ich mal IT-Sachen machen sollte.
Bei der Nutzerfirma hatte man alles im gesamten haus verteilt mit fritzboxen umgesetzt. Das war nicht so die perfekte Lösung. man hatte einen VPN Zugang für den Hersteller bereitgestellt, der so aber Zugang zu allem im gesamten netz hatte. -> nicht schlau!
Ich empfahl alle fritzboxen zu entfernen und damals UNIfi Vernetzung mit VLans et. umzusetzen, damit der externe Zugang ausschließlich nur noch zu den CNC Maschinen führt, aber nichts weiter.
Ich würde allgemein hier dazu raten wenn es denn nur bei bedarf benötigt wird, den Zugang nur auf bedarf / Zuruf zu öffnen. Darüber hinaus sollte man seitens den Dienstleisters eine Verpflichtung unterschreiben lassen, dass alle diese zugriffe protokolliert werden inkl. name den Mitarbeiters/mitarbeiterin, die das durchführte.
Bei einem Steuerberater entdeckte ich mal in ähnlichem Fall plötzlich ohne Absprache eine TeamViewer Installation auf dem DomänenController und so konfiguriert, dass ein Zugriff immer möglich war. -> Und standen die Haare zu Berge! Niemand wusste mehr, wer das da mal installiert hatte, niemand will es dann gewesen sein.
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
Kreuzberger
ich finde solche externen zugriffe immer für sehr problematisch.
ich hatte mal so einen fall, wo ein Hersteller für CNC Maschinen einen Netzwerkzugang haben wollte auf die von ihm hergestellten Maschinen bei der Nutzerfirma, für die ich mal IT-Sachen machen sollte.
Bei der Nutzerfirma hatte man alles im gesamten haus verteilt mit fritzboxen umgesetzt. Das war nicht so die perfekte Lösung. man hatte einen VPN Zugang für den Hersteller bereitgestellt, der so aber Zugang zu allem im gesamten netz hatte. -> nicht schlau!
Ich empfahl alle fritzboxen zu entfernen und damals UNIfi Vernetzung mit VLans et. umzusetzen, damit der externe Zugang ausschließlich nur noch zu den CNC Maschinen führt, aber nichts weiter.
Ich würde allgemein hier dazu raten wenn es denn nur bei bedarf benötigt wird, den Zugang nur auf bedarf / Zuruf zu öffnen. Darüber hinaus sollte man seitens den Dienstleisters eine Verpflichtung unterschreiben lassen, dass alle diese zugriffe protokolliert werden inkl. name den Mitarbeiters/mitarbeiterin, die das durchführte.
Bei einem Steuerberater entdeckte ich mal in ähnlichem Fall plötzlich ohne Absprache eine TeamViewer Installation auf dem DomänenController und so konfiguriert, dass ein Zugriff immer möglich war. -> Und standen die Haare zu Berge! Niemand wusste mehr, wer das da mal installiert hatte, niemand will es dann gewesen sein.
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
Kreuzberger
Zitat von @kreuzberger:
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
ggf. hat hier jemand eine pfiffige Idee, wie man sowas schlauer lösen kann. VPN ist dabei klar. Aber wie richtet man einen USER ein, der ggf. nur auf Zuruf im AD aktiv geschaltet wird und dann eben nur entsprechend eingeschränkte rechte bekommt. In dem Fall nur auf einen Host.
Mit Fortinet funktioniert das relativ einfach.
Ich bastel mir da VPN-Gruppen, weise denen User aus dem AD zu und die bekommen dann ein eigenes VPN-Portal. Und in dem Portal kann ich einstellen, auf welche Server die per VPN zugreifen dürfen.
Den lokalen User muss man halt dann so ausstatten, dass die von da nicht rumhüpfen können.
Moin zusammen,
erst mal kurz zur Aufklärung:
Der von mir genannte Kunde hat 8 Standorte, alle verbunden per VPN/Fortinet Firewwalls.
Mein Thema hier, zumindest in meinem Fall, bezieht sich wirklich auf den Dienstleister, der nur VOR ORT auftritt.
Es wird kein VPN für den externen Zugriff benötigt
erst mal kurz zur Aufklärung:
Der von mir genannte Kunde hat 8 Standorte, alle verbunden per VPN/Fortinet Firewwalls.
Mein Thema hier, zumindest in meinem Fall, bezieht sich wirklich auf den Dienstleister, der nur VOR ORT auftritt.
Es wird kein VPN für den externen Zugriff benötigt
Dann kannst du ihm entweder per GPO einen User mit Admin Rechten auf die Geräte verteilen,
oder
Du richtest LAPS ein. Damit muss er, um Admin Rechte zu erhalten, einen lokalen Administrator nach dem LAPS Passwort fragen, das dann zur eingestellten Zeit automatisch abläuft. Jeder Client hat dann ein anderes LAPS Passwort, das automatisch oder zur eingestellten Zeit von selbst wechselt.
oder
Du richtest LAPS ein. Damit muss er, um Admin Rechte zu erhalten, einen lokalen Administrator nach dem LAPS Passwort fragen, das dann zur eingestellten Zeit automatisch abläuft. Jeder Client hat dann ein anderes LAPS Passwort, das automatisch oder zur eingestellten Zeit von selbst wechselt.
Also soll eine Art Service Techniker vor Ort werden, dann ist die Frage,
hast du die PCs in ner eigenen OU im AD für den Standort, wenn ja Super.
Dann erstellst du ne AD Gruppe z.B. "Admins_Clients_Location_XYZ"
Und ne AD Kennung für den Techniker >> stopfst ihn in die Gruppe.
Dann im AD ne neue GPO aufmachen welche dann nur auf die OU wirkt wo du willst,
und diese GPO soll die neu erstellte Gruppe "Admins_Clients_Location_XYZ" in die Locale Administrators Gruppe eintragen. fertig. Booten die Clients ziehen sie die GPO und Fertig.
Wegen Server kannst du nun entscheiden ob du einen Getrennten Admin Account für Server erstellst
(Hintergrund ist das er damit sich nicht auf Clients anmelden soll damit die Credentials nicht auf Clients lokal rumliegen, weil im Angriffs Fall Hacker und so können sie diese Lokalen Daten verwenden um das Kennwort zu Knacken und haben dann ebenfalls zugriff auf die Server dann...)
So im AD erstellst du wie gesagt den Server Account oder nimmst den gleichen wie du für die Clients verwendest und da die sache hier sehr überschaubar ist, würde ich den Account manuell auf den Servern als Lokaler Admin eintragen dann. Mehr wie ein Duzend werdens nicht sein, ist in paar minuten erledigt.
Oder du machst das gleiche wie bei den Clients mit ner Gruppe und GPO wenn die Server in ner eigenen OU sind wo man die GPO draufmachen kann... aber ich finde das übertrieben bei handelsüblichen Firmen, weil wie gesagt wenns nicht der Hauptstandort ist sinds ja meist unter 10 Server die da stehen...
Solltest du ihm höhere Rechte geben wollen wie Domain Admin >> defintiv ein getrennter Account.
Fertig.
Und sollte er die Firma Verlassen oder Personal wechseln kannst das per neuen User und in Gruppe schmeissen dann administrieren, alte Accounts deaktivieren und löschen....
hast du die PCs in ner eigenen OU im AD für den Standort, wenn ja Super.
Dann erstellst du ne AD Gruppe z.B. "Admins_Clients_Location_XYZ"
Und ne AD Kennung für den Techniker >> stopfst ihn in die Gruppe.
Dann im AD ne neue GPO aufmachen welche dann nur auf die OU wirkt wo du willst,
und diese GPO soll die neu erstellte Gruppe "Admins_Clients_Location_XYZ" in die Locale Administrators Gruppe eintragen. fertig. Booten die Clients ziehen sie die GPO und Fertig.
Wegen Server kannst du nun entscheiden ob du einen Getrennten Admin Account für Server erstellst
(Hintergrund ist das er damit sich nicht auf Clients anmelden soll damit die Credentials nicht auf Clients lokal rumliegen, weil im Angriffs Fall Hacker und so können sie diese Lokalen Daten verwenden um das Kennwort zu Knacken und haben dann ebenfalls zugriff auf die Server dann...)
So im AD erstellst du wie gesagt den Server Account oder nimmst den gleichen wie du für die Clients verwendest und da die sache hier sehr überschaubar ist, würde ich den Account manuell auf den Servern als Lokaler Admin eintragen dann. Mehr wie ein Duzend werdens nicht sein, ist in paar minuten erledigt.
Oder du machst das gleiche wie bei den Clients mit ner Gruppe und GPO wenn die Server in ner eigenen OU sind wo man die GPO draufmachen kann... aber ich finde das übertrieben bei handelsüblichen Firmen, weil wie gesagt wenns nicht der Hauptstandort ist sinds ja meist unter 10 Server die da stehen...
Solltest du ihm höhere Rechte geben wollen wie Domain Admin >> defintiv ein getrennter Account.
Fertig.
Und sollte er die Firma Verlassen oder Personal wechseln kannst das per neuen User und in Gruppe schmeissen dann administrieren, alte Accounts deaktivieren und löschen....
