pixel24
Goto Top

Laptop in Domäne, trotzdem lokaler Admin

Hallo zusammen,

ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu. Den lokalen Administrator aktiviere ich nicht. Ergeben sich hieraus Nachteile oder ist dass so sinnvoll? Die gleiche Vorgehensweise vollziehe ich auch bei den Notebooks die ja die meiste Zeit außerhalb der Domäne sind. Ist es hier sinnvoll den lokalen Administrator zu aktivieren?

Viele Grüße
pixel24

Content-ID: 569536

Url: https://administrator.de/forum/laptop-in-domaene-trotzdem-lokaler-admin-569536.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

erikro
erikro 05.05.2020 um 16:52:41 Uhr
Goto Top
Moin,

Zitat von @pixel24:
ich trete mit den Windows-Clients immer der Domäne bei und füge dabei den lokalen Benutzer mit Standard-Rechten (Benutzer) hinzu.

Hä? Welchen Benutzer fügst Du wo hinzu? Den lokalen User des Rechners zur Domain? Oder einen Domain-User in eine lokale Gruppe? Oder was meinst du mit dem Satz?

Den lokalen Administrator aktiviere ich nicht.

Und wie trittst Du ohne lokalen Admin einer Domain bei?

Ergeben sich hieraus Nachteile oder ist dass so sinnvoll?

Das, was du beschreibst, geht nicht. Ohne einen lokalen Admin könntest Du niemals einer Domain beitreten. Ein normaler User hat nicht das Recht, einen Rechner in die Domain einzufügen. Der darf noch nicht einmal den Rechnernamen ändern oder die Uhr stellen.

Liebe Grüße

Erik
pixel24
pixel24 05.05.2020 um 17:07:33 Uhr
Goto Top
Etwas unglücklich beschrieben.

- Zur Win10-Installation verbinde ich nicht mit dem (W)LAN
- Dabei lege ich den Benutzer "temp" an der ja lokaler Admin ist
- In der Domäne gibt es z.B. den Benutzer gerd.mueller (im LDAP / Samba) sowie natürlich den Domain-Admin (Administrator)
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp
manchmalfunktionierts
manchmalfunktionierts 05.05.2020 aktualisiert um 17:50:56 Uhr
Goto Top
Hallo,

das Prozedere ist ungünstig... dein einziger lokaler admin ist "temp", diesen löscht du aber nach domain beitritt wieder...

Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.


... ich versteh nur nicht den Teil mit Benutzer im Assistent hinzufügen?

Meiner Meinung nach, musst du diesen schritt überhaupt nicht machen... es sei denn du möchtest im angemeldeten Nutzer etwas konfigurieren, dann kannst du dich aber auch ganz normal anmelden...

ich würde noch eine GPO bauen, die den lokalen Nutzer "temp" löscht... dann kann man es auch nicht vergessen werden und dieser schwirrt nicht herum...

würde noch ein startup script nutzen, welches einen lokalen admin mit definiertem Passwort erstellt.

alternativ oder zudem: https://www.microsoft.com/en-us/download/details.aspx?id=46899

Grüße
pixel24
pixel24 05.05.2020 um 18:00:17 Uhr
Goto Top
ok, dann aktiviere ich am Ende einfach den lokalen Administrator und lösche dann den Benutzer Temp. Das mit dem User "temp" mache ich auch erst seit Win10 da er mit Online-Verbindung immer einen Online-Konto einrichten will. Zumindest habe ich das noch so in Erinnerung.

Zum Assitenten:
den Starte ich ja mit Benutzer Temp. Ich glaube im zweiten Schritt fragt er nach User/Pass. Dort gebe ich dann z.B. den gerd.mueller ein. da dieser ja in der Domain ein normaler User ist kann dieser nicht joinen und er will anschließend den Domain-Admin/Pass -> ok ... im nächsten oder übernächsten Schritt fragt er dann ob er den Benutzer (gerd.mueller) lokal hinzufügen soll und mit welchen Rechten (Standard-User, Admin ....)

Aber:
Wenn das Gerät nun keine Verbindung zum DC hat oder die Vertrauensstellung verliert, dann stehst du erstmal da.
beantwortet eigentlich meine Frage. Es ist immer sicherer einen lokalen Administrator zu haben.
erikro
erikro 06.05.2020 um 08:25:35 Uhr
Goto Top
Moin,

Zitat von @pixel24:
- Als "temp" angemeldet trete ich nun der Domäne bei und füge den Benutzer "gerd.mueller" (im Assistent) loakle hinzu (Standard-Benutzer)
- Am Ende lösche ich temp

Ganz, ganz, ganz schlechte Idee. Gerade und vor allem bei Notebooks. Hast Du noch nie den Fehler gehabt: "Keine Vertrauensstellung mit der Domain" (oder so ähnlich). Das passiert z. B. wenn das Computerpasswort (nicht das den Users, sondern des Computers) abgelaufen ist und nicht rechtzeitig erneuert wurde. Aber auch einfach mal so kann das passieren. Und dann? Dann ist Essig mit Rechner aus der Domain entfernen und neu einfügen.

Und warum fügst Du den Domain-User nochmal als lokalen User hinzu? Das ist vollkommen überflüssig und führt nur zur Verwirrung der User.

Liebe Grüße

Erik
pixel24
pixel24 06.05.2020 um 08:47:37 Uhr
Goto Top
ok, werde das entsprechend ändern. Danke.