3
Domänen-Admins als lokale Administratoren bei Thinclients
Hallo,
wir haben >200 Wyse 5070 Thinclients mit Windows. Da wir den Speicher erweitern und eine neue Windows Version aufspielen hatten wir eine Diskussion darüber, ob wir die Gruppe der AD-Administratoren auf den Thinclients zu lokalen Administratorengruppe hinzufügen.
Unser Admin sagt, dass dies laut best practice nicht sein soll.. Laut ihm sollten auf keinem Client ( auch nicht Windows PC) die Domänen-Admins auch lokale Admins sein
Ist dem wirklich so und gibt es dazu vielleicht Artikel?
Grüße
Andreas
wir haben >200 Wyse 5070 Thinclients mit Windows. Da wir den Speicher erweitern und eine neue Windows Version aufspielen hatten wir eine Diskussion darüber, ob wir die Gruppe der AD-Administratoren auf den Thinclients zu lokalen Administratorengruppe hinzufügen.
Unser Admin sagt, dass dies laut best practice nicht sein soll.. Laut ihm sollten auf keinem Client ( auch nicht Windows PC) die Domänen-Admins auch lokale Admins sein
Ist dem wirklich so und gibt es dazu vielleicht Artikel?
Grüße
Andreas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3227966046
Url: https://administrator.de/forum/domaenen-admins-als-lokale-administratoren-bei-thinclients-3227966046.html
Ausgedruckt am: 10.04.2025 um 08:04 Uhr
3 Kommentare
Neuester Kommentar
Moin.
Das ist recht einfach zu beantworten.
Fügt man einen Client zur Domäne hinzu, wird die Gruppe der Domänenadministratoren automatisch hinzugefügt zur lokalen Admingruppe. Jedoch ist das kein funktionelles Muss. Dir steht frei, diese Gruppe wieder zu entmachten.
Ganz offiziell ist es selbstverständlich best practice, sich nie auf Clients mit dem Domänenadmin anzumelden.
Clients: administriert von Clientadmins
Mitgliedsserver: Mitgliedsserveradmins
DCs: Domänenadmins
Das nennt sich "Tier Model" und ist z.B. hier gut veranschaulicht, samt Erzwingung:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Offizielles MS Blabla gibt es natürlich auch:
https://docs.microsoft.com/en-us/microsoft-identity-manager/pam/tier-mod ...
https://docs.microsoft.com/en-us/security/compass/privileged-access-acce ...
Das ist recht einfach zu beantworten.
Fügt man einen Client zur Domäne hinzu, wird die Gruppe der Domänenadministratoren automatisch hinzugefügt zur lokalen Admingruppe. Jedoch ist das kein funktionelles Muss. Dir steht frei, diese Gruppe wieder zu entmachten.
Ganz offiziell ist es selbstverständlich best practice, sich nie auf Clients mit dem Domänenadmin anzumelden.
Clients: administriert von Clientadmins
Mitgliedsserver: Mitgliedsserveradmins
DCs: Domänenadmins
Das nennt sich "Tier Model" und ist z.B. hier gut veranschaulicht, samt Erzwingung:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Offizielles MS Blabla gibt es natürlich auch:
https://docs.microsoft.com/en-us/microsoft-identity-manager/pam/tier-mod ...
https://docs.microsoft.com/en-us/security/compass/privileged-access-acce ...
3
Man kann muss aber nicht. Wenn die AD-Admins nicht Mitglied der lokalen Admingruppe sind, dann muss auf jedem Gerät ein entsprechendes Adminkonto vorhanden sein, damit man die Geräte irgendwie zentral verwalten kann.
Welche Gründe dagegen sprechen, das müsst ihr intern klären. Ein "Best Pratice" für Thin Clients gibt es nicht. Bei Geräten mit Windows als OS würde ich das aber per se nicht machen.
Welche Gründe dagegen sprechen, das müsst ihr intern klären. Ein "Best Pratice" für Thin Clients gibt es nicht. Bei Geräten mit Windows als OS würde ich das aber per se nicht machen.
Wenn die AD-Admins nicht Mitglied der lokalen Admingruppe sind, dann muss auf jedem Gerät ein entsprechendes Adminkonto vorhanden sein, damit man die Geräte irgendwie zentral verwalten kann.
Jein. Für "zentrale", wie auch immer geartete Verwaltung "muss" das nicht sein:GPOs brauchen das nicht
Agents, welche irgendwelche Managementsoftwares einsetzen, brauchen auch nicht zwingend ein Adminkonto
Remote auslesen von Dingen (per PowerShell-Remoting usw) kann eine Gefahr darstellen und sollte in gesicherten Netzwerken gar nicht benutzt werden (Auslesen sollte per Push vom Client kommen und nicht per Pull von außen). Jedoch ist es, wenn man denn PS-Remoting machen will, natürlich naheliegend. Dennoch auf keinen Fall mit dem Domänenadmin.
