14
Clients an Außenstandorten in Domäne einbinden
Mahlzeit,
ich bin auf der Suche nach einer eleganten Möglichkeit, entfernte Clients in die Domain aufzunehmen.
Die Windows-Clients befinden sich an Außenstandorten quer in Europa verteilt. Angebunden sind die Außenstandorte per Site-to-Site-VPN. Die Rechner haben den lokalen Admin aktiviert, die Credentials liegen den Usern allerdings nicht vor (und das soll auch so bleiben).
Da alleine schon für das Öffnen des entsprechenden Menüs zum Domain-Join nach meiner Kenntnis Admin-Rechte benötigt werden, bin ich mir hier nicht sicher, wie sich das möglichst unkompliziert lösen lässt.
Naheliegend war für mich zunächst ein manueller Join an allen Rechnern über TeamViewer - allerdings besteht hier das Problem, dass man per TeamViewer keine Eingabemöglichkeit hat, wenn sich ein Credential-Fenster öffnet. Das kann dann nur lokal bedient werden (somit wären wir wieder beim Thema, dass die User kein Admin-Kennwort bekommen sollen).
Vielleicht hat jemand eine Inspiration für mich :P
Danke und Gruß
ich bin auf der Suche nach einer eleganten Möglichkeit, entfernte Clients in die Domain aufzunehmen.
Die Windows-Clients befinden sich an Außenstandorten quer in Europa verteilt. Angebunden sind die Außenstandorte per Site-to-Site-VPN. Die Rechner haben den lokalen Admin aktiviert, die Credentials liegen den Usern allerdings nicht vor (und das soll auch so bleiben).
Da alleine schon für das Öffnen des entsprechenden Menüs zum Domain-Join nach meiner Kenntnis Admin-Rechte benötigt werden, bin ich mir hier nicht sicher, wie sich das möglichst unkompliziert lösen lässt.
Naheliegend war für mich zunächst ein manueller Join an allen Rechnern über TeamViewer - allerdings besteht hier das Problem, dass man per TeamViewer keine Eingabemöglichkeit hat, wenn sich ein Credential-Fenster öffnet. Das kann dann nur lokal bedient werden (somit wären wir wieder beim Thema, dass die User kein Admin-Kennwort bekommen sollen).
Vielleicht hat jemand eine Inspiration für mich :P
Danke und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 599678
Url: https://administrator.de/contentid/599678
Ausgedruckt am: 25.11.2024 um 06:11 Uhr
14 Kommentare
Neuester Kommentar
Moin,
gib dem User die Credentials und ändere nach dem erfolgreichen Join das Passwort.
Alternativ erstellst Du einen zusätzlichen "Join-Admin-Account", den du nach dem Join deaktivierst.
Gruß
Looser
P.S.: schon mal VNC anstatt Teamviewer versucht?
P.P.S.: Wenn der PC Remotezugriff erlaubt kannst Du Dich doch remote mit den lokalen Admin-Daten einloggen und den Join vornehmen.
gib dem User die Credentials und ändere nach dem erfolgreichen Join das Passwort.
Alternativ erstellst Du einen zusätzlichen "Join-Admin-Account", den du nach dem Join deaktivierst.
Gruß
Looser
P.S.: schon mal VNC anstatt Teamviewer versucht?
P.P.S.: Wenn der PC Remotezugriff erlaubt kannst Du Dich doch remote mit den lokalen Admin-Daten einloggen und den Join vornehmen.
Moin @Looser27,
danke schon mal!
dem User die Credentials geben ist leider keine Option. Das Passwort für den lokalen Admin ist als "Universal-Passwort" im betroffenen System zu verstehen. Frag nicht, ist nicht auf meinen Mist gewachsen :D
Remotezugriff (per RDP) ist leider deaktiviert. VNC ist leider auch nicht wirklich praktikabel, dafür sind es einfach zu viele Clients. Und auch noch alle mit DHCP, wüsste nicht wie man das unkompliziert realisieren könnte.
danke schon mal!
dem User die Credentials geben ist leider keine Option. Das Passwort für den lokalen Admin ist als "Universal-Passwort" im betroffenen System zu verstehen. Frag nicht, ist nicht auf meinen Mist gewachsen :D
Remotezugriff (per RDP) ist leider deaktiviert. VNC ist leider auch nicht wirklich praktikabel, dafür sind es einfach zu viele Clients. Und auch noch alle mit DHCP, wüsste nicht wie man das unkompliziert realisieren könnte.
Moin,
du kannst den Fernzugriff über den Teamviewer auch mit erweiterten Rechten durchführen.
Schau mal: Benutzerkontensteuerung auf einem entfernten Windows-PC
Als Domäne musst du dann den PC-Namen eingeben.
du kannst den Fernzugriff über den Teamviewer auch mit erweiterten Rechten durchführen.
Schau mal: Benutzerkontensteuerung auf einem entfernten Windows-PC
Als Domäne musst du dann den PC-Namen eingeben.
Hallo,
ist natürlich schwierig wenn du keine Möglichkeit hast richtig auf den Rechner zuzugreifen und vor Ort keiner die Rechte hat. Ich verstehe allerdings den Prozess nicht ganz. Wenn das lokale Adminpasswort gesetzt und bekannt ist muss das doch ein Admin in den Fingern gehabt haben oder? da hätte man doch auch den Join machen können.
Grüße
ist natürlich schwierig wenn du keine Möglichkeit hast richtig auf den Rechner zuzugreifen und vor Ort keiner die Rechte hat. Ich verstehe allerdings den Prozess nicht ganz. Wenn das lokale Adminpasswort gesetzt und bekannt ist muss das doch ein Admin in den Fingern gehabt haben oder? da hätte man doch auch den Join machen können.
Grüße
Hallo,
eine weitere Möglichkeit wäre, einen dedizierten Service User zu erstellen, um den Domain Join durchzuführen. Dieser kann für diesen Zweck auch an den Benutzer gegeben werden, ohne gleich die Admin-Hosen runterzulassen:
https://www.moderndeployment.com/correct-domain-join-account-permissions ...
eine weitere Möglichkeit wäre, einen dedizierten Service User zu erstellen, um den Domain Join durchzuführen. Dieser kann für diesen Zweck auch an den Benutzer gegeben werden, ohne gleich die Admin-Hosen runterzulassen:
https://www.moderndeployment.com/correct-domain-join-account-permissions ...
Moin,
ich werfe mal den Offline-Domänenbeitritt in die Runde, schau mal ob das mit den lokalen Admin User zu schaffen ist oder Du da noch weiter basteln musst:
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/dir ...
Gruss
ich werfe mal den Offline-Domänenbeitritt in die Runde, schau mal ob das mit den lokalen Admin User zu schaffen ist oder Du da noch weiter basteln musst:
https://docs.microsoft.com/de-de/windows-server/remote/remote-access/dir ...
Gruss
Ok, da habe ich offensichtlich an der Fragestellung vorbei gedacht. Da wir Teamviewer die eleganteste Lösung bleiben.
Ich nehme an, Powershell Remoting ist auf den Clients ebenfalls deaktiviert?
Ich nehme an, Powershell Remoting ist auf den Clients ebenfalls deaktiviert?
Moin
wenn du dich mit dem Teamviewer verbindest, kannst du dich mit erhöhten Rechten verbinden. Wenn du dort den lokalen Administrator angibst, dann solltest du durch die erhöhten Rechte auch das Credential-Fenster sehen und beschreiben können. Zumindest innerhalb der Domäne funktioniert das.
Ansonsten: Gib dem User das Kennwort für den lokalen Administrator. Nach dem Domänenbeitritt kannst du das Kennwort bequem verändern. Wenn du es richtig machst, dann hat der User das Kennwort 2 bis 3 Minuten und du siehst die ganze Zeit was er dabei macht.
Zitat von @Philzip:
Naheliegend war für mich zunächst ein manueller Join an allen Rechnern über TeamViewer - allerdings besteht hier das Problem, dass man per TeamViewer keine Eingabemöglichkeit hat, wenn sich ein Credential-Fenster öffnet. Das kann dann nur lokal bedient werden (somit wären wir wieder beim Thema, dass die User kein Admin-Kennwort bekommen sollen).
Naheliegend war für mich zunächst ein manueller Join an allen Rechnern über TeamViewer - allerdings besteht hier das Problem, dass man per TeamViewer keine Eingabemöglichkeit hat, wenn sich ein Credential-Fenster öffnet. Das kann dann nur lokal bedient werden (somit wären wir wieder beim Thema, dass die User kein Admin-Kennwort bekommen sollen).
wenn du dich mit dem Teamviewer verbindest, kannst du dich mit erhöhten Rechten verbinden. Wenn du dort den lokalen Administrator angibst, dann solltest du durch die erhöhten Rechte auch das Credential-Fenster sehen und beschreiben können. Zumindest innerhalb der Domäne funktioniert das.
Ansonsten: Gib dem User das Kennwort für den lokalen Administrator. Nach dem Domänenbeitritt kannst du das Kennwort bequem verändern. Wenn du es richtig machst, dann hat der User das Kennwort 2 bis 3 Minuten und du siehst die ganze Zeit was er dabei macht.
Moin. Verstehe die Problematik nicht. Jeder Stanard-Benutzer darf 10 PCs zur Domäne hinzufügen.
Oder verwechsele ich da was ?
Henere
Oder verwechsele ich da was ?
Henere
Zitat von @Henere:
Moin. Verstehe die Problematik nicht. Jeder Stanard-Benutzer darf 10 PCs zur Domäne hinzufügen.
Oder verwechsele ich da was ?
Henere
Moin. Verstehe die Problematik nicht. Jeder Stanard-Benutzer darf 10 PCs zur Domäne hinzufügen.
Oder verwechsele ich da was ?
Henere
Das ist richtig aber er braucht trotzdem auch die lokalen Rechte.
An Sachen wie offline Domänenbeitritt, Remote Powershell und RDP, aber wenn die sich wirklich gar keine Administrationsmöglichkeiten geschaffen haben bleibt nur noch sowas wie Teamviewer.
N'Abend.
Warum nutzt du dann TeamViewer und nicht das bordeigene RDP?
Davon abgesehen, dass man TeamViewer auch mit Admin-Rechten starten kann. Oder halt nen TV-Host auf den Rechnern laufen lässt.
Cheers,
jsysde
Warum nutzt du dann TeamViewer und nicht das bordeigene RDP?
Davon abgesehen, dass man TeamViewer auch mit Admin-Rechten starten kann. Oder halt nen TV-Host auf den Rechnern laufen lässt.
Cheers,
jsysde
