Laptop in Domäne, trotzdem lokaler Admin
Hallo zusammen,
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu. Den lokalen Administrator aktiviere ich nicht. Ergeben sich hieraus Nachteile oder ist dass so sinnvoll? Die gleiche Vorgehensweise vollziehe ich auch bei den Notebooks die ja die meiste Zeit außerhalb der Domäne sind. Ist es hier sinnvoll den lokalen Administrator zu aktivieren?
Viele Grüße
pixel24
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu. Den lokalen Administrator aktiviere ich nicht. Ergeben sich hieraus Nachteile oder ist dass so sinnvoll? Die gleiche Vorgehensweise vollziehe ich auch bei den Notebooks die ja die meiste Zeit außerhalb der Domäne sind. Ist es hier sinnvoll den lokalen Administrator zu aktivieren?
Viele Grüße
pixel24
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 569536
Url: https://administrator.de/forum/laptop-in-domaene-trotzdem-lokaler-admin-569536.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
6 Kommentare
Neuester Kommentar
Moin,
Hä? Welchen Benutzer fügst Du wo hinzu? Den lokalen User des Rechners zur Domain? Oder einen Domain-User in eine lokale Gruppe? Oder was meinst du mit dem Satz?
Und wie trittst Du ohne lokalen Admin einer Domain bei?
Das, was du beschreibst, geht nicht. Ohne einen lokalen Admin könntest Du niemals einer Domain beitreten. Ein normaler User hat nicht das Recht, einen Rechner in die Domain einzufügen. Der darf noch nicht einmal den Rechnernamen ändern oder die Uhr stellen.
Liebe Grüße
Erik
Zitat von @pixel24:
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu.
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu.
Hä? Welchen Benutzer fügst Du wo hinzu? Den lokalen User des Rechners zur Domain? Oder einen Domain-User in eine lokale Gruppe? Oder was meinst du mit dem Satz?
Den lokalen Administrator aktiviere ich nicht.
Und wie trittst Du ohne lokalen Admin einer Domain bei?
Ergeben sich hieraus Nachteile oder ist dass so sinnvoll?
Das, was du beschreibst, geht nicht. Ohne einen lokalen Admin könntest Du niemals einer Domain beitreten. Ein normaler User hat nicht das Recht, einen Rechner in die Domain einzufügen. Der darf noch nicht einmal den Rechnernamen ändern oder die Uhr stellen.
Liebe Grüße
Erik
Hallo,
das Prozedere ist ungünstig... dein einziger lokaler admin ist "temp", diesen löscht du aber nach domain beitritt wieder...
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
... ich versteh nur nicht den Teil mit Benutzer im Assistent hinzufügen?
Meiner Meinung nach, musst du diesen schritt überhaupt nicht machen... es sei denn du möchtest im angemeldeten Nutzer etwas konfigurieren, dann kannst du dich aber auch ganz normal anmelden...
ich würde noch eine GPO bauen, die den lokalen Nutzer "temp" löscht... dann kann man es auch nicht vergessen werden und dieser schwirrt nicht herum...
würde noch ein startup script nutzen, welches einen lokalen admin mit definiertem Passwort erstellt.
alternativ oder zudem: https://www.microsoft.com/en-us/download/details.aspx?id=46899
Grüße
das Prozedere ist ungünstig... dein einziger lokaler admin ist "temp", diesen löscht du aber nach domain beitritt wieder...
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
... ich versteh nur nicht den Teil mit Benutzer im Assistent hinzufügen?
Meiner Meinung nach, musst du diesen schritt überhaupt nicht machen... es sei denn du möchtest im angemeldeten Nutzer etwas konfigurieren, dann kannst du dich aber auch ganz normal anmelden...
ich würde noch eine GPO bauen, die den lokalen Nutzer "temp" löscht... dann kann man es auch nicht vergessen werden und dieser schwirrt nicht herum...
würde noch ein startup script nutzen, welches einen lokalen admin mit definiertem Passwort erstellt.
alternativ oder zudem: https://www.microsoft.com/en-us/download/details.aspx?id=46899
Grüße
Moin,
Ganz, ganz, ganz schlechte Idee. Gerade und vor allem bei Notebooks. Hast Du noch nie den Fehler gehabt: "Keine Vertrauensstellung mit der Domain" (oder so ähnlich). Das passiert z. B. wenn das Computerpasswort (nicht das den Users, sondern des Computers) abgelaufen ist und nicht rechtzeitig erneuert wurde. Aber auch einfach mal so kann das passieren. Und dann? Dann ist Essig mit Rechner aus der Domain entfernen und neu einfügen.
Und warum fügst Du den Domain-User nochmal als lokalen User hinzu? Das ist vollkommen überflüssig und führt nur zur Verwirrung der User.
Liebe Grüße
Erik
Zitat von @pixel24:
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
Ganz, ganz, ganz schlechte Idee. Gerade und vor allem bei Notebooks. Hast Du noch nie den Fehler gehabt: "Keine Vertrauensstellung mit der Domain" (oder so ähnlich). Das passiert z. B. wenn das Computerpasswort (nicht das den Users, sondern des Computers) abgelaufen ist und nicht rechtzeitig erneuert wurde. Aber auch einfach mal so kann das passieren. Und dann? Dann ist Essig mit Rechner aus der Domain entfernen und neu einfügen.
Und warum fügst Du den Domain-User nochmal als lokalen User hinzu? Das ist vollkommen überflüssig und führt nur zur Verwirrung der User.
Liebe Grüße
Erik