2
Lokale adminrechte laps alternativen
Hallo,
kenne mich mit LAPs noch nicht tiefgründig aus.
Bei einer rücksichtsvollen/vertrauenswürdigen
10 Mann Arbeitsgruppe ohne lokale Adminrechte. (nur mit DC und Fileserver, ohne M365)
wäre das Ziel das sie auf eigene Gefahr in der Lage sein muss was ändern/installieren zu dürfen
(an den eigenen Windows Domänen PCs)
Frage: gibt es da eigentlich eine "zweitbeste/drittbeste" Lösung nach Microsoft LAPS? (local administrator password solution)
Damit meine ich eine Lösung die sozusagen nicht komplett fahrlässig ist und auch praktikabel für reisende "Domänen-Notebookuser-mit-VPN" die 24/7 Support brauchen.
Ich kenne nur dies:
a) lokale-adminkonten jedoch unterschiedliche Kennwörter (dessen Kennwort notfalls rausgegeben werden könnte)
oder
b) einen Domänen-User "Mitarbeiter-Admin" mit lokalen Adminrechten erstellen (dessen Kennwort die Prokuristen kennen)
Diese MAD muss sich ja mindestens einmal lokal eingeloggt haben...(sonst geht es in Übersee ohne VPN schlecht)
Es handelt sich um eine Gruppe die sehr achtsam ist und sozusagen keine Krawallo-Achtklässler.
kenne mich mit LAPs noch nicht tiefgründig aus.
Bei einer rücksichtsvollen/vertrauenswürdigen
10 Mann Arbeitsgruppe ohne lokale Adminrechte. (nur mit DC und Fileserver, ohne M365)
wäre das Ziel das sie auf eigene Gefahr in der Lage sein muss was ändern/installieren zu dürfen
(an den eigenen Windows Domänen PCs)
Frage: gibt es da eigentlich eine "zweitbeste/drittbeste" Lösung nach Microsoft LAPS? (local administrator password solution)
Damit meine ich eine Lösung die sozusagen nicht komplett fahrlässig ist und auch praktikabel für reisende "Domänen-Notebookuser-mit-VPN" die 24/7 Support brauchen.
Ich kenne nur dies:
a) lokale-adminkonten jedoch unterschiedliche Kennwörter (dessen Kennwort notfalls rausgegeben werden könnte)
oder
b) einen Domänen-User "Mitarbeiter-Admin" mit lokalen Adminrechten erstellen (dessen Kennwort die Prokuristen kennen)
Diese MAD muss sich ja mindestens einmal lokal eingeloggt haben...(sonst geht es in Übersee ohne VPN schlecht)
Es handelt sich um eine Gruppe die sehr achtsam ist und sozusagen keine Krawallo-Achtklässler.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7012806434
Url: https://administrator.de/forum/lokale-adminrechte-laps-alternativen-7012806434.html
Ausgedruckt am: 06.04.2025 um 20:04 Uhr
2 Kommentare
Neuester Kommentar
Schau mein Tutorial an: Tipp zur Nutzung von Zweitaccounts unter Windows
Hast Du keine CA (und willst Dir die auch ersparen), dann nimm das verlinkte alte Tutorial Tipp zur UAC-Nutzung
Hast Du keine CA (und willst Dir die auch ersparen), dann nimm das verlinkte alte Tutorial Tipp zur UAC-Nutzung
1
Moin,
es gibt noch eine Alternative:
Du legst im AD einen User an, z.B. pcadmin mit einem normalen Passwort, welches Du irgendwo hinterlegst.
Diesen User verteilst Du via GPO an die Clients als lokalen Admin-Account.
Im Krisenfall kann das Passwort an den betreffenden User herausgegeben werden und anschließend im AD geändert werden, so dass das alte Passwort seine Gültigkeit verliert. Bis zum nächsten Einsatz.....
Gruß
Looser
P.S.: Habe ich so in einer KMU jahrelang betrieben. Passwort war nur mir bekannt und kann auch z.B. für Teamviewer-Authentifizierung genutzt werden. Der Vorteil ist hierbei, dass sich der User pcadmin nicht am Client anmelden muss, sondern innerhalb der normalen User-Session gearbeitet werden kann.
es gibt noch eine Alternative:
Du legst im AD einen User an, z.B. pcadmin mit einem normalen Passwort, welches Du irgendwo hinterlegst.
Diesen User verteilst Du via GPO an die Clients als lokalen Admin-Account.
Im Krisenfall kann das Passwort an den betreffenden User herausgegeben werden und anschließend im AD geändert werden, so dass das alte Passwort seine Gültigkeit verliert. Bis zum nächsten Einsatz.....
Gruß
Looser
P.S.: Habe ich so in einer KMU jahrelang betrieben. Passwort war nur mir bekannt und kann auch z.B. für Teamviewer-Authentifizierung genutzt werden. Der Vorteil ist hierbei, dass sich der User pcadmin nicht am Client anmelden muss, sondern innerhalb der normalen User-Session gearbeitet werden kann.
