Domänen-Admins als lokale Administratoren bei Thinclients

andreas65m
Goto Top
Hallo,

wir haben >200 Wyse 5070 Thinclients mit Windows. Da wir den Speicher erweitern und eine neue Windows Version aufspielen hatten wir eine Diskussion darüber, ob wir die Gruppe der AD-Administratoren auf den Thinclients zu lokalen Administratorengruppe hinzufügen.
Unser Admin sagt, dass dies laut best practice nicht sein soll.. Laut ihm sollten auf keinem Client ( auch nicht Windows PC) die Domänen-Admins auch lokale Admins sein
Ist dem wirklich so und gibt es dazu vielleicht Artikel?

Grüße
Andreas

Content-Key: 3227966046

Url: https://administrator.de/contentid/3227966046

Ausgedruckt am: 15.08.2022 um 18:08 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 01.07.2022 aktualisiert um 11:12:04 Uhr
Goto Top
Moin.

Das ist recht einfach zu beantworten.
Fügt man einen Client zur Domäne hinzu, wird die Gruppe der Domänenadministratoren automatisch hinzugefügt zur lokalen Admingruppe. Jedoch ist das kein funktionelles Muss. Dir steht frei, diese Gruppe wieder zu entmachten.

Ganz offiziell ist es selbstverständlich best practice, sich nie auf Clients mit dem Domänenadmin anzumelden.

Clients: administriert von Clientadmins
Mitgliedsserver: Mitgliedsserveradmins
DCs: Domänenadmins

Das nennt sich "Tier Model" und ist z.B. hier gut veranschaulicht, samt Erzwingung:
https://www.experts-exchange.com/articles/29515/Active-Directory-Simple- ...
Offizielles MS Blabla gibt es natürlich auch:
https://docs.microsoft.com/en-us/microsoft-identity-manager/pam/tier-mod ...
https://docs.microsoft.com/en-us/security/compass/privileged-access-acce ...
Mitglied: DerMaddin
DerMaddin 01.07.2022 um 11:22:36 Uhr
Goto Top
Man kann muss aber nicht. Wenn die AD-Admins nicht Mitglied der lokalen Admingruppe sind, dann muss auf jedem Gerät ein entsprechendes Adminkonto vorhanden sein, damit man die Geräte irgendwie zentral verwalten kann.

Welche Gründe dagegen sprechen, das müsst ihr intern klären. Ein "Best Pratice" für Thin Clients gibt es nicht. Bei Geräten mit Windows als OS würde ich das aber per se nicht machen.
Mitglied: DerWoWusste
DerWoWusste 01.07.2022 um 12:28:12 Uhr
Goto Top
Wenn die AD-Admins nicht Mitglied der lokalen Admingruppe sind, dann muss auf jedem Gerät ein entsprechendes Adminkonto vorhanden sein, damit man die Geräte irgendwie zentral verwalten kann.
Jein. Für "zentrale", wie auch immer geartete Verwaltung "muss" das nicht sein:

GPOs brauchen das nicht
Agents, welche irgendwelche Managementsoftwares einsetzen, brauchen auch nicht zwingend ein Adminkonto
Remote auslesen von Dingen (per PowerShell-Remoting usw) kann eine Gefahr darstellen und sollte in gesicherten Netzwerken gar nicht benutzt werden (Auslesen sollte per Push vom Client kommen und nicht per Pull von außen). Jedoch ist es, wenn man denn PS-Remoting machen will, natürlich naheliegend. Dennoch auf keinen Fall mit dem Domänenadmin.