mabies
Goto Top

GPO: wie entziehe ich einer Gruppe von Anwendern lokale Adminrechts bzw. wie gebe ich einem Dummyuser lokale Adminrechte

Hallo,
im Rahmen der Eindämmung potentieller Einfallschneisen für Ungeziefer möchte ich diesem den Weg zumindest schwieriger machen.
Unsere Entwickler (Elektronik) arbeiten z.B. alle mit lokalen Adminrechten - das gilt als potentiell gefährdent.
Allerdings müssen die oft Programme installieren / ausführen die genau das brauchen
Daher möchte ich
a. allen jetzigen Anwendern die lokalen Adminrechte entziehen
b. einen Dummyuser in der Domäne erstellen der überall lokale Adminrechte hat - damit kann man dann temporär als Admin Dinge ausführen

Gibt es eine Anleitung für mich als GPO-Gelegenheitsuser wie man sowas verteilt?
Basis ist SRV16 & W10.

Danke Euch

Content-ID: 479703

Url: https://administrator.de/forum/gpo-wie-entziehe-ich-einer-gruppe-von-anwendern-lokale-adminrechts-bzw-wie-gebe-ich-einem-dummyuser-lokale-479703.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

SeaStorm
Lösung SeaStorm 31.07.2019 um 09:32:29 Uhr
Goto Top
Hi

zu a: Entziehen kann man das recht einfach per GPO. Einfach die Lokalen Administratoren festlegen per GPO mit der Option "Delete all member / User"
Damit löscht du alles was da momentan so drin ist und legst fest wen du als Admin haben willst
2019-07-31 09_29_39-window

zu b: Dafür richtet man sich LAPS ein. Damit eben NICHT der EINE Benutzer existiert, der da überall Admin hat. Wenn du das machst, hast du nicht wirklich viel gewonnen, da ein PassTheHash Angriff weiterhin überall Zugriff findet
DerWoWusste
Lösung DerWoWusste 31.07.2019 aktualisiert um 09:39:45 Uhr
Goto Top
Moin.

Du willst einen User erstellen, der überallAdminrechte hat und das Kennwort Leuten geben, denen Du nicht einmal lokale Adminrechte zutraust?
Das ist keine gute Idee.

Schau Dir dazu bitte lieber dieses Konzept an: Tipp zur UAC-Nutzung
Das würde erreichen, was Du willst: jeder arbeitet als Nicht-Admin, kann aber jederzeit (und sogar komfortabel) Software bei sich (und nur bei sich) installieren.
mabies
mabies 31.07.2019 um 10:14:17 Uhr
Goto Top
Das ging ja schnell - ich hatte sowas befürchtet...
LAPS scheint mir zu unhandlich (für mich und vor allem für den Anwender mit den kryptischen PW).
DWW, gute Idee, hört sich plausibel an:
verstehe bei Deiner Anleitung einige Dinge nicht.
- "man setzt 2 Tasks" - meinst Du Tasks in der Aufgabenplanung? Die man dann manuell in jedem PC anlegen muß?
- "Trigger1: on workstation unlock of EuerSchwacherNutzer" - kann mit dem Platzhalter 'EuerSchwacherNutzer' nichts anfangen, was soll hier rein?

Vielen Dank
DerWoWusste
Lösung DerWoWusste 31.07.2019 um 10:22:18 Uhr
Goto Top
Hi.

Ja, ich meine in der Aufgabenplanung.
Du kannst Tasks zwar per GPO deployen; da diese Tasks aber personengebunden sind, ist das nicht ganz so einfach. Das starke Konto soll sich ja eben nicht bei jeder Anmeldung aktivieren, sondern nur, wenn sich Nutzer X anmeldet.

Ich kann mal eine deploybare Variante erstellen.

Zum Trigger: der schwache Nutzer ist der jeweilige Entwickler - fortan sollen die ja als Nichtadmins (schwach) arbeiten.
Ich melde mich wieder.
Dani
Lösung Dani 31.07.2019 um 10:51:37 Uhr
Goto Top
Moin,
Unsere Entwickler (Elektronik) arbeiten z.B. alle mit lokalen Adminrechten - das gilt als potentiell gefährdent.
Allerdings müssen die oft Programme installieren / ausführen die genau das brauchen
je nachdem wäre evtl. eine VM auf dem Rechner/Notebook eine Alternative, welche keinen direkten Zugriff auf das Netzwerk benötigt.
Ansonsten würde mich stören, dass du nicht weißt welche Art von Software auf dem Rechnern installiert wird. Leider werden die Rechte oft missbraucht, um Programme zu installieren welche mit der eigentlichen Arbeit nichts zu tun haben. Oder es werden gerne Gruppenrichtlinien mit einer lokalen Konfiguration ausgehebelt. Zudem ist es problemlos möglich Löcher in die Windows-Firewall zu bohren. An deiner Stelle würde ich den Prozess grundlegend überdenken und eine neue Strategie entwerfen.


Gruß,
Dani
DerWoWusste
Lösung DerWoWusste 01.08.2019 aktualisiert um 09:17:32 Uhr
Goto Top
So.

Ich habe mir folgendes überlegt: Task 2 ist ja deploybar, so wie er ist.
Bei Tasks 1 möchte ich fragen, ob Du auf diesen PCs mehrere User hast und hierbei auch nur einem die Adminrechte geben willst. Wenn Du nur einen User hast, dann kannst Du den Task natürlich auch deployen, denn dann braucht da nicht "deinSchwacherUser" rein, sondern nur "any user", wie bei Task 2!

Hast Du mehrere, wird es etwas anstrengender. Ich würde einen Referenztask exportieren, der auf deinem PC manuell erstellt wurde. Der Export erfolgt als .xml-Datei. Um aus dieser Referenzdatei einen passenden Task für jeden PC zu machen, müsstest Du mittels Powershell Kopien erzeugen, die die korrekten Kontennamen enthalten. Das ginge so:

(Get-Content -path "\\server\share\exportierterDummy.xml" -Raw) -replace 'deineDomain\\deinNutzername','deineDomain\EntwicklernamevonPC1' | Set-Content -Path \\server\share\TaskfuerPC1.xml  

Diese modifizierten Tasks würde ich dann per Startskript so importieren lassen:
schtasks /create /xml \\server\share\Taskfuer%computername% /f
mabies
mabies 01.08.2019 aktualisiert um 14:23:36 Uhr
Goto Top
@dww, nochmals herzlichen Dank.
Ich holpere noch bei:
- Auflistung der Admins bei UAC, da habe ich sicher mit meinen begrenzten GPO-Kenntnissen die falsche Stelle im Forest erwischt (CCSP), das tut nämlich nicht?
window

- Verwende ich bei meinem Dateimanager den lokalen Admin, habe ich keine Netzwerklaufwerke. Muß ich mir die dann 'zu Fuß' dazukonfigurieren oder geht das eleganter?

Vieel Grüße
GGA
DerWoWusste
Lösung DerWoWusste 01.08.2019 um 14:09:29 Uhr
Goto Top
Die gelistete GPO ist die richtige. Prüf erst einmal nach, ob sie auch am Client angewendet wurde.
auf einem elevated command prompt ausführen:
gpresult /h %temp%\result.html & %temp%\result.html
Verwende ich bei meinem Dateimanager den lokalen Admin, habe ich keine Netzwerklaufwerke
Normal, denn Netzlaufwerke werden eben per Benutzer verbunden und nicht pro Computer. Du musst die benötigten Daten vorher als Domänennutzer lokal kopieren, oder mit Freigaben arbeiten, die anonym erreicht werden können.
mabies
mabies 02.08.2019 um 09:22:40 Uhr
Goto Top
Ich muß nochmal nachhaken, stolpere ich über die von mir 'heissgeliebte' Aufgabenplanung (Stunden über Stunden kann man sich da aufhalten ohne zu erkennen warum die nicht so tut wie man meint das sie sollte).
Importiere ich eine Deiner Aufgaben auf z.B. einen anderen Rechner, wird diese korrekt angezeigt. Nur speichern kann ich sie nicht, da die stets folgende Berechtigungsabfrage fehlschlägt:
egal was ich angebe, lokale Domäne mit lokalem Admin, Domänenadmin, ..., es erfolgt immer diese däm... Meldung.
2019-08-02 09_17_45-window
Es ist auch egal, was ich bei 'Beim Ausführen dieser Aufgaben folgendes Benutzerkonto verwenden' eintrage.
Erst wenn ich den gerade angemeldeten User mit seinem Domänennamen/Nutzernamen wieder als lokalen Admin aufnehme, tut's.
Aber das kann's ja nicht sein...

Danke nochmal
DerWoWusste
DerWoWusste 02.08.2019 um 09:29:42 Uhr
Goto Top
Dein Denkfehler: Du versuchst als Nicht-Admin eine Aufgabe zu importieren, die mit anderen Credentials arbeitet. Das geht schlicht nicht. Du musst dies als Admin importieren.
mabies
mabies 02.08.2019 aktualisiert um 10:52:22 Uhr
Goto Top
wieder was gelernt..
Es verbleibt (für uns) ein Riesenpferdefuß:
sobald ich im lokalen Adminkontext arbeite, habe ich keine Netzlaufwerke mehr (wie oben erwähnt).
Mappe ich die Laufwerke, kommt natürlich die Frage nach den Anmeldeinfos.
Alles OK, kann man einmal exportieren und machen. Aber nicht jedesmal:
Stand jetzt merkt sich dasSystem das nicht bzw. Mappings aus dem Dateimanager kennt der parallel laufende CMD nicht.
Verlasse ich den Userkontext und gehe wieder hinein, wird bei Netzzugriff erneut nach den Credentials gefragt.

Wir bekomme ich also meine Mappings einmalig & dauerhaft dem lokalen Userkontext eingeimpft?
DerWoWusste
Lösung DerWoWusste 02.08.2019 um 11:16:15 Uhr
Goto Top
Da ich so arbeite und mich das mit den NLWs nicht stört: was ist das Problem? Wann brauchst Du die NLWs, beim Installieren von Software? Kopiere dir die Setups lokal. Wenn Du ein Setupshare bereitstellen kannst, das anonym genutzt werden darf, hättest Du noch weniger Probleme.
Dani
Lösung Dani 02.08.2019 um 13:24:44 Uhr
Goto Top
Moin,
Es verbleibt (für uns) ein Riesenpferdefuß:
sobald ich im lokalen Adminkontext arbeite, habe ich keine Netzlaufwerke mehr (wie oben erwähnt).
Mappe ich die Laufwerke, kommt natürlich die Frage nach den Anmeldeinfos.
Es ist aus Sicht der Sicherheit eigentlich Quark. Denn hast du einen Verschlüsselungstrojaner auf dem Rechner und dieser wird z.B. durch lokalen Administrator geweckt, sind die Daten auf den Netzlaufwerken (irgendwann) dran bzw. weg.

Daher eigentlich immer die notwendigen Dateien mit Hilfe von einem Share auf dem jeweiligen Rechner/Server oder per Fernwartungssoftware auf das Zielsystem kopieren. Somit werden keine zusätzlichen Ziele für Malware bekannt gegeben.

@DerWoWusste
Wenn Du ein Setupshare bereitstellen kannst, das anonym genutzt werden darf, hättest Du noch weniger Probleme.
Allerdings keine Lizenzschlüssel oder Anwendungen mit intergrieter Aktivierung dort ablegen. Sonst besteht die Gefahr, dass n Kollege sowas mit nach Hause nimmt für eine Referenzinstallation. face-wink


Gruß,
Dani