philzip
Goto Top

Clients an Außenstandorten in Domäne einbinden

Mahlzeit,

ich bin auf der Suche nach einer eleganten Möglichkeit, entfernte Clients in die Domain aufzunehmen.

Die Windows-Clients befinden sich an Außenstandorten quer in Europa verteilt. Angebunden sind die Außenstandorte per Site-to-Site-VPN. Die Rechner haben den lokalen Admin aktiviert, die Credentials liegen den Usern allerdings nicht vor (und das soll auch so bleiben).

Da alleine schon für das Öffnen des entsprechenden Menüs zum Domain-Join nach meiner Kenntnis Admin-Rechte benötigt werden, bin ich mir hier nicht sicher, wie sich das möglichst unkompliziert lösen lässt.

anmerkung 2020-08-27 101657

Naheliegend war für mich zunächst ein manueller Join an allen Rechnern über TeamViewer - allerdings besteht hier das Problem, dass man per TeamViewer keine Eingabemöglichkeit hat, wenn sich ein Credential-Fenster öffnet. Das kann dann nur lokal bedient werden (somit wären wir wieder beim Thema, dass die User kein Admin-Kennwort bekommen sollen).

Vielleicht hat jemand eine Inspiration für mich :P

Danke und Gruß

Content-Key: 599678

Url: https://administrator.de/contentid/599678

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: Looser27
Looser27 27.08.2020 um 10:28:04 Uhr
Goto Top
Moin,

gib dem User die Credentials und ändere nach dem erfolgreichen Join das Passwort.
Alternativ erstellst Du einen zusätzlichen "Join-Admin-Account", den du nach dem Join deaktivierst.

Gruß

Looser

P.S.: schon mal VNC anstatt Teamviewer versucht?
P.P.S.: Wenn der PC Remotezugriff erlaubt kannst Du Dich doch remote mit den lokalen Admin-Daten einloggen und den Join vornehmen.
Mitglied: Philzip
Philzip 27.08.2020 um 10:32:06 Uhr
Goto Top
Moin @Looser27,

danke schon mal!

dem User die Credentials geben ist leider keine Option. Das Passwort für den lokalen Admin ist als "Universal-Passwort" im betroffenen System zu verstehen. Frag nicht, ist nicht auf meinen Mist gewachsen :D

Remotezugriff (per RDP) ist leider deaktiviert. VNC ist leider auch nicht wirklich praktikabel, dafür sind es einfach zu viele Clients. Und auch noch alle mit DHCP, wüsste nicht wie man das unkompliziert realisieren könnte.
Mitglied: Inf1d3l
Inf1d3l 27.08.2020 um 10:38:55 Uhr
Goto Top
Mitglied: goscho
goscho 27.08.2020 um 10:40:55 Uhr
Goto Top
Moin,

du kannst den Fernzugriff über den Teamviewer auch mit erweiterten Rechten durchführen.

Schau mal: Benutzerkontensteuerung auf einem entfernten Windows-PC

Als Domäne musst du dann den PC-Namen eingeben.
Mitglied: Philzip
Philzip 27.08.2020 um 10:53:24 Uhr
Goto Top
@luci0815 @goscho

Das schaue ich mir mal an, danke.
Mitglied: LeeX01
LeeX01 27.08.2020 um 11:16:04 Uhr
Goto Top
Hallo,

ist natürlich schwierig wenn du keine Möglichkeit hast richtig auf den Rechner zuzugreifen und vor Ort keiner die Rechte hat. Ich verstehe allerdings den Prozess nicht ganz. Wenn das lokale Adminpasswort gesetzt und bekannt ist muss das doch ein Admin in den Fingern gehabt haben oder? da hätte man doch auch den Join machen können.

Grüße
Mitglied: troebbe
troebbe 27.08.2020 um 11:30:04 Uhr
Goto Top
Hallo,

eine weitere Möglichkeit wäre, einen dedizierten Service User zu erstellen, um den Domain Join durchzuführen. Dieser kann für diesen Zweck auch an den Benutzer gegeben werden, ohne gleich die Admin-Hosen runterzulassen:

https://www.moderndeployment.com/correct-domain-join-account-permissions ...
Mitglied: Philzip
Philzip 27.08.2020 um 11:33:02 Uhr
Goto Top
@troebbe Die Möglichkeit ist mir klar, das bringt mir aber nichts wenn der User gar nicht erst das Fenster zum Domainjoin öffnen kann :P

PS: Die Variante mit Teamviewer scheint gut zu funktionieren. Vielen Dank an @luci0815 und @goscho
Mitglied: sabines
sabines 27.08.2020 um 12:43:16 Uhr
Goto Top
Moin,

ich werfe mal den Offline-Domänenbeitritt in die Runde, schau mal ob das mit den lokalen Admin User zu schaffen ist oder Du da noch weiter basteln musst:

https://docs.microsoft.com/de-de/windows-server/remote/remote-access/dir ...

Gruss
Mitglied: troebbe
troebbe 27.08.2020 um 13:16:36 Uhr
Goto Top
Ok, da habe ich offensichtlich an der Fragestellung vorbei gedacht. Da wir Teamviewer die eleganteste Lösung bleiben.

Ich nehme an, Powershell Remoting ist auf den Clients ebenfalls deaktiviert?
Mitglied: Doskias
Doskias 27.08.2020 um 14:11:46 Uhr
Goto Top
Moin

Zitat von @Philzip:
Naheliegend war für mich zunächst ein manueller Join an allen Rechnern über TeamViewer - allerdings besteht hier das Problem, dass man per TeamViewer keine Eingabemöglichkeit hat, wenn sich ein Credential-Fenster öffnet. Das kann dann nur lokal bedient werden (somit wären wir wieder beim Thema, dass die User kein Admin-Kennwort bekommen sollen).

wenn du dich mit dem Teamviewer verbindest, kannst du dich mit erhöhten Rechten verbinden. Wenn du dort den lokalen Administrator angibst, dann solltest du durch die erhöhten Rechte auch das Credential-Fenster sehen und beschreiben können. Zumindest innerhalb der Domäne funktioniert das.

Ansonsten: Gib dem User das Kennwort für den lokalen Administrator. Nach dem Domänenbeitritt kannst du das Kennwort bequem verändern. Wenn du es richtig machst, dann hat der User das Kennwort 2 bis 3 Minuten und du siehst die ganze Zeit was er dabei macht.
Mitglied: Henere
Henere 27.08.2020 um 15:56:12 Uhr
Goto Top
Moin. Verstehe die Problematik nicht. Jeder Stanard-Benutzer darf 10 PCs zur Domäne hinzufügen.
Oder verwechsele ich da was ?

Henere
Mitglied: LeeX01
LeeX01 27.08.2020 um 16:00:09 Uhr
Goto Top
Zitat von @Henere:

Moin. Verstehe die Problematik nicht. Jeder Stanard-Benutzer darf 10 PCs zur Domäne hinzufügen.
Oder verwechsele ich da was ?

Henere

Das ist richtig aber er braucht trotzdem auch die lokalen Rechte.

An Sachen wie offline Domänenbeitritt, Remote Powershell und RDP, aber wenn die sich wirklich gar keine Administrationsmöglichkeiten geschaffen haben bleibt nur noch sowas wie Teamviewer.
Mitglied: jsysde
jsysde 27.08.2020 um 21:51:12 Uhr
Goto Top
N'Abend.

Zitat von @Philzip:
[...]sind die Außenstandorte per Site-to-Site-VPN.[...]
Warum nutzt du dann TeamViewer und nicht das bordeigene RDP?
Davon abgesehen, dass man TeamViewer auch mit Admin-Rechten starten kann. Oder halt nen TV-Host auf den Rechnern laufen lässt.

Cheers,
jsysde