6
Laptop in Domäne, trotzdem lokaler Admin
Hallo zusammen,
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu. Den lokalen Administrator aktiviere ich nicht. Ergeben sich hieraus Nachteile oder ist dass so sinnvoll? Die gleiche Vorgehensweise vollziehe ich auch bei den Notebooks die ja die meiste Zeit außerhalb der Domäne sind. Ist es hier sinnvoll den lokalen Administrator zu aktivieren?
Viele Grüße
pixel24
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu. Den lokalen Administrator aktiviere ich nicht. Ergeben sich hieraus Nachteile oder ist dass so sinnvoll? Die gleiche Vorgehensweise vollziehe ich auch bei den Notebooks die ja die meiste Zeit außerhalb der Domäne sind. Ist es hier sinnvoll den lokalen Administrator zu aktivieren?
Viele Grüße
pixel24
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 569536
Url: https://administrator.de/contentid/569536
Printed on: April 25, 2024 at 11:04 o'clock
6 Comments
Latest comment
Moin,
Hä? Welchen Benutzer fügst Du wo hinzu? Den lokalen User des Rechners zur Domain? Oder einen Domain-User in eine lokale Gruppe? Oder was meinst du mit dem Satz?
Und wie trittst Du ohne lokalen Admin einer Domain bei?
Das, was du beschreibst, geht nicht. Ohne einen lokalen Admin könntest Du niemals einer Domain beitreten. Ein normaler User hat nicht das Recht, einen Rechner in die Domain einzufügen. Der darf noch nicht einmal den Rechnernamen ändern oder die Uhr stellen.
Liebe Grüße
Erik
Zitat von @pixel24:
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu.
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu.
Hä? Welchen Benutzer fügst Du wo hinzu? Den lokalen User des Rechners zur Domain? Oder einen Domain-User in eine lokale Gruppe? Oder was meinst du mit dem Satz?
Den lokalen Administrator aktiviere ich nicht.
Und wie trittst Du ohne lokalen Admin einer Domain bei?
Ergeben sich hieraus Nachteile oder ist dass so sinnvoll?
Das, was du beschreibst, geht nicht. Ohne einen lokalen Admin könntest Du niemals einer Domain beitreten. Ein normaler User hat nicht das Recht, einen Rechner in die Domain einzufügen. Der darf noch nicht einmal den Rechnernamen ändern oder die Uhr stellen.
Liebe Grüße
Erik
Etwas unglücklich beschrieben.
- Zur Win10-Installation verbinde ich nicht mit dem (W)LAN
- Dabei lege ich den Benutzer "temp" an der ja lokaler Admin ist
- In der Domäne gibt es z.B. den Benutzer gerd.mueller (im LDAP / Samba) sowie natürlich den Domain-Admin (Administrator)
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
- Zur Win10-Installation verbinde ich nicht mit dem (W)LAN
- Dabei lege ich den Benutzer "temp" an der ja lokaler Admin ist
- In der Domäne gibt es z.B. den Benutzer gerd.mueller (im LDAP / Samba) sowie natürlich den Domain-Admin (Administrator)
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
Hallo,
das Prozedere ist ungünstig... dein einziger lokaler admin ist "temp", diesen löscht du aber nach domain beitritt wieder...
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
... ich versteh nur nicht den Teil mit Benutzer im Assistent hinzufügen?
Meiner Meinung nach, musst du diesen schritt überhaupt nicht machen... es sei denn du möchtest im angemeldeten Nutzer etwas konfigurieren, dann kannst du dich aber auch ganz normal anmelden...
ich würde noch eine GPO bauen, die den lokalen Nutzer "temp" löscht... dann kann man es auch nicht vergessen werden und dieser schwirrt nicht herum...
würde noch ein startup script nutzen, welches einen lokalen admin mit definiertem Passwort erstellt.
alternativ oder zudem: https://www.microsoft.com/en-us/download/details.aspx?id=46899
Grüße
das Prozedere ist ungünstig... dein einziger lokaler admin ist "temp", diesen löscht du aber nach domain beitritt wieder...
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
... ich versteh nur nicht den Teil mit Benutzer im Assistent hinzufügen?
Meiner Meinung nach, musst du diesen schritt überhaupt nicht machen... es sei denn du möchtest im angemeldeten Nutzer etwas konfigurieren, dann kannst du dich aber auch ganz normal anmelden...
ich würde noch eine GPO bauen, die den lokalen Nutzer "temp" löscht... dann kann man es auch nicht vergessen werden und dieser schwirrt nicht herum...
würde noch ein startup script nutzen, welches einen lokalen admin mit definiertem Passwort erstellt.
alternativ oder zudem: https://www.microsoft.com/en-us/download/details.aspx?id=46899
Grüße
ok, dann aktiviere ich am Ende einfach den lokalen Administrator und lösche dann den Benutzer Temp. Das mit dem User "temp" mache ich auch erst seit Win10 da er mit Online-Verbindung immer einen Online-Konto einrichten will. Zumindest habe ich das noch so in Erinnerung.
Zum Assitenten:
den Starte ich ja mit Benutzer Temp. Ich glaube im zweiten Schritt fragt er nach User/Pass. Dort gebe ich dann z.B. den gerd.mueller ein. da dieser ja in der Domain ein normaler User ist kann dieser nicht joinen und er will anschließend den Domain-Admin/Pass -> ok ... im nächsten oder übernächsten Schritt fragt er dann ob er den Benutzer (gerd.mueller) lokal hinzufügen soll und mit welchen Rechten (Standard-User, Admin ....)
Aber:
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
beantwortet eigentlich meine Frage. Es ist immer sicherer einen lokalen Administrator zu haben.
Zum Assitenten:
den Starte ich ja mit Benutzer Temp. Ich glaube im zweiten Schritt fragt er nach User/Pass. Dort gebe ich dann z.B. den gerd.mueller ein. da dieser ja in der Domain ein normaler User ist kann dieser nicht joinen und er will anschließend den Domain-Admin/Pass -> ok ... im nächsten oder übernächsten Schritt fragt er dann ob er den Benutzer (gerd.mueller) lokal hinzufügen soll und mit welchen Rechten (Standard-User, Admin ....)
Aber:
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
beantwortet eigentlich meine Frage. Es ist immer sicherer einen lokalen Administrator zu haben.
Moin,
Ganz, ganz, ganz schlechte Idee. Gerade und vor allem bei Notebooks. Hast Du noch nie den Fehler gehabt: "Keine Vertrauensstellung mit der Domain" (oder so ähnlich). Das passiert z. B. wenn das Computerpasswort (nicht das den Users, sondern des Computers) abgelaufen ist und nicht rechtzeitig erneuert wurde. Aber auch einfach mal so kann das passieren. Und dann? Dann ist Essig mit Rechner aus der Domain entfernen und neu einfügen.
Und warum fügst Du den Domain-User nochmal als lokalen User hinzu? Das ist vollkommen überflüssig und führt nur zur Verwirrung der User.
Liebe Grüße
Erik
Zitat von @pixel24:
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
Ganz, ganz, ganz schlechte Idee. Gerade und vor allem bei Notebooks. Hast Du noch nie den Fehler gehabt: "Keine Vertrauensstellung mit der Domain" (oder so ähnlich). Das passiert z. B. wenn das Computerpasswort (nicht das den Users, sondern des Computers) abgelaufen ist und nicht rechtzeitig erneuert wurde. Aber auch einfach mal so kann das passieren. Und dann? Dann ist Essig mit Rechner aus der Domain entfernen und neu einfügen.
Und warum fügst Du den Domain-User nochmal als lokalen User hinzu? Das ist vollkommen überflüssig und führt nur zur Verwirrung der User.
Liebe Grüße
Erik
ok, werde das entsprechend ändern. Danke.
