Lokale Administrator(Adminrechte) in einer Domäne ausfindig machen

Mitglied: rotartsinimdA-tI

rotartsinimdA-tI (Level 1) - Jetzt verbinden

15.02.2021 um 08:29 Uhr, 462 Aufrufe, 5 Kommentare, 5 Danke

Guten Morgen,

aktuell ist folgende Situation gegeben:

Mehrere Domänen (A, B, C und D)
Für jede Domäne exisitieren lokale Administratoren, die über die GPO an die Clients verteilt wurden, so das man eben Adminzeugs auf diesen erledigen kann.

Um eventuelle Missverständnisse vorzubeugen: die lokalen Administratoren =/= Administratoren auf den Rechnern sondern User die nur Adminrechten auf Clients haben! =)

Beim arbeiten ist dabei aufgefallen, das es wohl einige User gibt die Adminrechte besitzen, die sie nicht besitzen sollte, und daher stellt sich jetzt die eigentliche Frage zum Problem:

Gibt es einen simplen Weg herauszufinden, welcher User/Rechner lokale Adminrechte zugeteilt bekommen hat, ohne an jedem Rechner nachschauen zu müssen?

Google/Forum Suche genutzt, doch nichts Zielführendes gefunden..


Beste Grüße und einen angenehmen Start in die Woche :-) face-smile
Mitglied: emeriks
LÖSUNG 15.02.2021, aktualisiert um 09:06 Uhr
Hi,
z.B. per GPO einen Scheduled Task an alle Computer ausrollen, welcher ausführt
Die von den Clients erstellten Dateien dann auswerten.

E.

Oder
Bitte warten ..
Mitglied: eazy-isi
LÖSUNG 15.02.2021 um 10:46 Uhr
Servus,

ich würde direkt in der GPO mit der du die lokalen Admins an die Clients verteilst, einstellen,
das er die Mitgliederbenutzer der Gruppe Administratoren (integriert) löscht.
Dann kanst du dir das auslesen sparen.
Hier mal ein Screenshot dazu:

2021-02-15 10_43_57-mremoteng - confcons.xml - ladcsrv02 - Klicke auf das Bild, um es zu vergrößern


Grüße
Thomas
Bitte warten ..
Mitglied: DerWoWusste
LÖSUNG 15.02.2021 um 14:33 Uhr
Ich würde die Ausgabe einschränken und so die Rechner rausfiltern, die nur die erwarteten Mitglieder in der Admingruppe haben:
Die Dateien, die leer sind (Size= 0KB) tragen die Namen der Computer, bei denen nur administrator und domänen-admins in der Gruppe sind. die anderen kannst Du dir dann ansehen.

eazy-isis Weg ist natürlich ok, wenn Du dich sicher fühlst, so keine Admins rauszuwerfen, die du nicht auf dem Schirm hast.
Bitte warten ..
Mitglied: eazy-isi
15.02.2021 um 14:56 Uhr
Ich hatte es eigentlich so verstanden,
das er ja genau die , die er nicht auf dem Schirm hat rauswerfen möchte.
Die erlaubten lokalen Admins dann einfach, wie z.B. in meinem Beispiel in die Gruppe
"Workstation-Admins" packen und gut ist.
Aber wenn man auf der ganz sicheren Seite sein will, dann erst wie beschrieben auslesen.

Grüße
Thomas
Bitte warten ..
Mitglied: DerWoWusste
15.02.2021 um 17:23 Uhr
Das mit den Workstation-Admins ist ja auch unpassend, wenn er pro Workstation nur einen Admin (und nicht immer den selben) zulassen will.
Bitte warten ..
Heiß diskutierte Inhalte
Switche und Hubs
Probleme im Netzwerk Switche teilweise nicht erreichbar
hukimanVor 19 StundenFrageSwitche und Hubs29 Kommentare

Guten Morgen, seit Monaten haben wir hier immer wieder Probleme mit dem Netzwerk, das Problem konnte ich leider aber noch immer nicht finden. Es ...

Erkennung und -Abwehr
Einer Malware auf der Spur. Benötige Sherlock Holmes!
streamVor 1 TagFrageErkennung und -Abwehr7 Kommentare

Guten Abend Wenn ich meine Windows-10-Kiste starte, so gibt mir mein Router eine Meldung aus, dass eine bestimmte IP-Adresse wegen Bösartigkeit geblockt wurde. Auf ...

Batch & Shell
Tabellarische Ausgabe der Netzwerkschnittstellen
gelöst dysti99Vor 18 StundenFrageBatch & Shell18 Kommentare

Mit - ip a - werden ja die Netzwerkschnittstellen angezeigt. Ich möchte mit ein Batchscript folgende Ausgabe erreichen: 1 eth0 192.168.1.1 AD:13:67:56:14:D1 2 eth1 ...

Ubuntu
Mailserver Test Provider IP
gelöst it-blzVor 1 TagFrageUbuntu9 Kommentare

Hallo, ist es möglich einen "Mailserver" (Imap + smtp) in einer Virtual Box mit einer Provider IP (dynamisch - ist allerdings konstant) zu testen? ...

Microsoft
MS Teams und Office im gemeinnützigen Verein
DanielBodenseeVor 1 TagFrageMicrosoft6 Kommentare

Hallo zusammen, ich würde gerne in unserem anerkannten gemeinnützigen Verein eine gemeinsame Platform aufbauen, über die wir Diskutieren und uns austauschen können, insbesondere bei ...

Hardware
DisplayPort zu USB-C Adapter Converter
gelöst felixhuth-itVor 1 TagFrageHardware11 Kommentare

Hallo liebe Gemeinde Ich habe da ein kleines Problemchen. Der Kunde wollte einen 14 Zoll Monitor mit Touch in Verbindung mit einem Mini PC ...

Linux Netzwerk
SAMBA FS Portfreigabe
gelöst Jannik2018Vor 1 TagFrageLinux Netzwerk17 Kommentare

Hallo zusammen, ich habe eine Portfreigabe für meinen SAMBA Server mit Netzwerkfreigaben auf port 445 TCP eingerichtet allerdings wenn ich per DNS oder externer ...

Ausbildung
FISI Projektantrag GPO
gelöst JenzooVor 1 TagFrageAusbildung10 Kommentare

Moin, leider wurde mein Projektantrag abgelehnt mit folgender Begründung abgelehnt "Antrag kann so nicht genehmigt werden. Uns fehlt hier die Tiefe und der entsprechende ...