Lokale Konten über Gruppenrichtlinie sperren ODER Powershell

marfra
Goto Top
Hallo Kollegen:innen,

ich brauch, mal wieder, euren Rat. Im Netz nichts gefunden oder die Frage einfach falsch geDuckDuckGot. ;-) face-wink

Als ich bei meinem jetzigen Arbeitgeber anfing war die IT wirklich "mies" und das ist untertrieben. Jetzt kommt aber langsam Licht am ende des Tunnels.

Ich hab alle Clients auf Win 10 Prof gebracht (50% liefen mit Home und konnten daher nicht in die Domäne), das AD angepasst, Freigaben angepasst, die User/Gruppen strukturiert und die Passwortrichtlinien angepasst (PW=BN ist nicht sooo prall).

Die User wurden letzte Woche per Mail informiert und jetzt will ich "den Deckel zu machen".

Ich habe gemerkt das viele der Rechner bzw. die User sich über aktive lokale Konten anmelden, ich habe aber absolut keine Lust jeden Rechner wieder direkt anzulaufen und am Gerät die Konten zu deaktivieren. Gibt es eine Möglichkeit den Clients in der Domäne die lokalen Konten (außer Admin) zu sperren?


Ich habe schon in den Gruppenrichtlinien geschaut aber etwas in der Art habe ich nicht gefunden. Würde dass ganze auch per Powershell einstellen wenn das möglich ist.

Ich hoffe ihr könnt mir hier ein paar Denkanreize verpassen oder mich zur Lösung führen.


Wie immer, danke ich euch jetzt schon einmal sehr.


Grüße Marcel

Content-Key: 666145

Url: https://administrator.de/contentid/666145

Ausgedruckt am: 17.05.2022 um 06:05 Uhr

Mitglied: Tezzla
Lösung Tezzla 27.04.2021 um 11:27:18 Uhr
Goto Top
Denkanreiz:
Lass dir die lokalen User ausgeben

Ziehe die User aus der lokalen Admingruppe raus

und sperre den Rest :-) face-smile

Powershell ist dein Freund.
Mitglied: Doskias
Lösung Doskias 27.04.2021 aktualisiert um 12:03:28 Uhr
Goto Top
Erweiterter Denkanreiz :) face-smile

Ich hab das mal mit
etwas änliches gemacht. Aber Achtung: diesen Code so in der Form nicht ausführen, denn es gibt ggf. das eine oder andere Konto, welche du mit dem Befehl der hier steht löscht, welches nicht gelöscht werden sollte/darf.

Das ist die harte Methode. Besser wäre vermutlich mit set-localUser die User einfach zu sperren.

Auch praktisch ist
verpackt und combiniert mit einem invoke-command :-D face-big-smile

Viel Spass beim basteln damit

Gruß
Doskias
Mitglied: C.R.S.
Lösung C.R.S. 27.04.2021 um 17:11:12 Uhr
Goto Top
Hi,

das Deaktivieren der lokalen Konten ist ja nur ein Teil der Verwaltung lokaler Nutzer.
GPP mit Variablen hat sich für mich bewährt: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Zum Aufräumen: https://adamtheautomator.com/powershell-delete-user-profile/

Erfahrungsgemäß wird auch kein lokales Konto für Admins benötigt.

Grüße
Richard
Mitglied: jsysde
Lösung jsysde 27.04.2021 um 20:45:32 Uhr
Goto Top
N'Abend.

Per GPO/GPP die lokale Admin-Gruppe leerräumen und nur die User bzw. Gruppen wieder hinzufügen, die dort auch reingehören.
Ist mit drei Mausklicks zu erledigen und wird dank GPO auch immer wieder durchgesetzt - also selbst wenn jemand einen weiteren User in die lokale Gruppen "Administratoren" hinzufügt wird der beim nächsten gpupdate wieder rausgefegt.

Cheers,
jsysde