marfra
Goto Top

Lokale Konten über Gruppenrichtlinie sperren ODER Powershell

Hallo Kollegen:innen,

ich brauch, mal wieder, euren Rat. Im Netz nichts gefunden oder die Frage einfach falsch geDuckDuckGot. face-wink

Als ich bei meinem jetzigen Arbeitgeber anfing war die IT wirklich "mies" und das ist untertrieben. Jetzt kommt aber langsam Licht am ende des Tunnels.

Ich hab alle Clients auf Win 10 Prof gebracht (50% liefen mit Home und konnten daher nicht in die Domäne), das AD angepasst, Freigaben angepasst, die User/Gruppen strukturiert und die Passwortrichtlinien angepasst (PW=BN ist nicht sooo prall).

Die User wurden letzte Woche per Mail informiert und jetzt will ich "den Deckel zu machen".

Ich habe gemerkt das viele der Rechner bzw. die User sich über aktive lokale Konten anmelden, ich habe aber absolut keine Lust jeden Rechner wieder direkt anzulaufen und am Gerät die Konten zu deaktivieren. Gibt es eine Möglichkeit den Clients in der Domäne die lokalen Konten (außer Admin) zu sperren?


Ich habe schon in den Gruppenrichtlinien geschaut aber etwas in der Art habe ich nicht gefunden. Würde dass ganze auch per Powershell einstellen wenn das möglich ist.

Ich hoffe ihr könnt mir hier ein paar Denkanreize verpassen oder mich zur Lösung führen.


Wie immer, danke ich euch jetzt schon einmal sehr.


Grüße Marcel

Content-ID: 666145

Url: https://administrator.de/forum/lokale-konten-ueber-gruppenrichtlinie-sperren-oder-powershell-666145.html

Ausgedruckt am: 19.12.2024 um 23:12 Uhr

Tezzla
Lösung Tezzla 27.04.2021 um 11:27:18 Uhr
Goto Top
Denkanreiz:
Lass dir die lokalen User ausgeben
Get-LocalUser

Ziehe die User aus der lokalen Admingruppe raus
Get-LocalGroupMember

und sperre den Rest face-smile

Powershell ist dein Freund.
Doskias
Lösung Doskias 27.04.2021 aktualisiert um 12:03:28 Uhr
Goto Top
Erweiterter Denkanreiz face-smile

Ich hab das mal mit
Get-LocalUser | ? name -notlike "administrator" | remove-localUser  
etwas änliches gemacht. Aber Achtung: diesen Code so in der Form nicht ausführen, denn es gibt ggf. das eine oder andere Konto, welche du mit dem Befehl der hier steht löscht, welches nicht gelöscht werden sollte/darf.

Das ist die harte Methode. Besser wäre vermutlich mit set-localUser die User einfach zu sperren.

Auch praktisch ist
$Password = Read-Host "lokales Adminkennwort eingeben"-AsSecureString  
$UserAccount = Get-LocalUser -Name "Administrator"  
$UserAccount | Set-LocalUser -Password $Password
verpackt und combiniert mit einem invoke-command face-big-smile

Viel Spass beim basteln damit

Gruß
Doskias
C.R.S.
Lösung C.R.S. 27.04.2021 um 17:11:12 Uhr
Goto Top
Hi,

das Deaktivieren der lokalen Konten ist ja nur ein Teil der Verwaltung lokaler Nutzer.
GPP mit Variablen hat sich für mich bewährt: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Zum Aufräumen: https://adamtheautomator.com/powershell-delete-user-profile/

Erfahrungsgemäß wird auch kein lokales Konto für Admins benötigt.

Grüße
Richard
jsysde
Lösung jsysde 27.04.2021 um 20:45:32 Uhr
Goto Top
N'Abend.

Per GPO/GPP die lokale Admin-Gruppe leerräumen und nur die User bzw. Gruppen wieder hinzufügen, die dort auch reingehören.
Ist mit drei Mausklicks zu erledigen und wird dank GPO auch immer wieder durchgesetzt - also selbst wenn jemand einen weiteren User in die lokale Gruppen "Administratoren" hinzufügt wird der beim nächsten gpupdate wieder rausgefegt.

Cheers,
jsysde