4
Lokale Konten über Gruppenrichtlinie sperren ODER Powershell
Hallo Kollegen:innen,
ich brauch, mal wieder, euren Rat. Im Netz nichts gefunden oder die Frage einfach falsch geDuckDuckGot.
Als ich bei meinem jetzigen Arbeitgeber anfing war die IT wirklich "mies" und das ist untertrieben. Jetzt kommt aber langsam Licht am ende des Tunnels.
Ich hab alle Clients auf Win 10 Prof gebracht (50% liefen mit Home und konnten daher nicht in die Domäne), das AD angepasst, Freigaben angepasst, die User/Gruppen strukturiert und die Passwortrichtlinien angepasst (PW=BN ist nicht sooo prall).
Die User wurden letzte Woche per Mail informiert und jetzt will ich "den Deckel zu machen".
Ich habe gemerkt das viele der Rechner bzw. die User sich über aktive lokale Konten anmelden, ich habe aber absolut keine Lust jeden Rechner wieder direkt anzulaufen und am Gerät die Konten zu deaktivieren. Gibt es eine Möglichkeit den Clients in der Domäne die lokalen Konten (außer Admin) zu sperren?
Ich habe schon in den Gruppenrichtlinien geschaut aber etwas in der Art habe ich nicht gefunden. Würde dass ganze auch per Powershell einstellen wenn das möglich ist.
Ich hoffe ihr könnt mir hier ein paar Denkanreize verpassen oder mich zur Lösung führen.
Wie immer, danke ich euch jetzt schon einmal sehr.
Grüße Marcel
ich brauch, mal wieder, euren Rat. Im Netz nichts gefunden oder die Frage einfach falsch geDuckDuckGot.
Als ich bei meinem jetzigen Arbeitgeber anfing war die IT wirklich "mies" und das ist untertrieben. Jetzt kommt aber langsam Licht am ende des Tunnels.
Ich hab alle Clients auf Win 10 Prof gebracht (50% liefen mit Home und konnten daher nicht in die Domäne), das AD angepasst, Freigaben angepasst, die User/Gruppen strukturiert und die Passwortrichtlinien angepasst (PW=BN ist nicht sooo prall).
Die User wurden letzte Woche per Mail informiert und jetzt will ich "den Deckel zu machen".
Ich habe gemerkt das viele der Rechner bzw. die User sich über aktive lokale Konten anmelden, ich habe aber absolut keine Lust jeden Rechner wieder direkt anzulaufen und am Gerät die Konten zu deaktivieren. Gibt es eine Möglichkeit den Clients in der Domäne die lokalen Konten (außer Admin) zu sperren?
Ich habe schon in den Gruppenrichtlinien geschaut aber etwas in der Art habe ich nicht gefunden. Würde dass ganze auch per Powershell einstellen wenn das möglich ist.
Ich hoffe ihr könnt mir hier ein paar Denkanreize verpassen oder mich zur Lösung führen.
Wie immer, danke ich euch jetzt schon einmal sehr.
Grüße Marcel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666145
Url: https://administrator.de/contentid/666145
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
4 Kommentare
Neuester Kommentar
Denkanreiz:
Lass dir die lokalen User ausgeben
Ziehe die User aus der lokalen Admingruppe raus
und sperre den Rest
Powershell ist dein Freund.
Lass dir die lokalen User ausgeben
Get-LocalUserZiehe die User aus der lokalen Admingruppe raus
Get-LocalGroupMemberund sperre den Rest
Powershell ist dein Freund.
1
Erweiterter Denkanreiz
Ich hab das mal mit etwas änliches gemacht. Aber Achtung: diesen Code so in der Form nicht ausführen, denn es gibt ggf. das eine oder andere Konto, welche du mit dem Befehl der hier steht löscht, welches nicht gelöscht werden sollte/darf.
Das ist die harte Methode. Besser wäre vermutlich mit set-localUser die User einfach zu sperren.
Auch praktisch ist verpackt und combiniert mit einem invoke-command 
Viel Spass beim basteln damit
Gruß
Doskias
Ich hab das mal mit
Get-LocalUser | ? name -notlike "administrator" | remove-localUser Das ist die harte Methode. Besser wäre vermutlich mit set-localUser die User einfach zu sperren.
Auch praktisch ist
$Password = Read-Host "lokales Adminkennwort eingeben"-AsSecureString
$UserAccount = Get-LocalUser -Name "Administrator"
$UserAccount | Set-LocalUser -Password $PasswordViel Spass beim basteln damit
Gruß
Doskias
1
Hi,
das Deaktivieren der lokalen Konten ist ja nur ein Teil der Verwaltung lokaler Nutzer.
GPP mit Variablen hat sich für mich bewährt: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Zum Aufräumen: https://adamtheautomator.com/powershell-delete-user-profile/
Erfahrungsgemäß wird auch kein lokales Konto für Admins benötigt.
Grüße
Richard
das Deaktivieren der lokalen Konten ist ja nur ein Teil der Verwaltung lokaler Nutzer.
GPP mit Variablen hat sich für mich bewährt: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/ ...
Zum Aufräumen: https://adamtheautomator.com/powershell-delete-user-profile/
Erfahrungsgemäß wird auch kein lokales Konto für Admins benötigt.
Grüße
Richard
1
N'Abend.
Per GPO/GPP die lokale Admin-Gruppe leerräumen und nur die User bzw. Gruppen wieder hinzufügen, die dort auch reingehören.
Ist mit drei Mausklicks zu erledigen und wird dank GPO auch immer wieder durchgesetzt - also selbst wenn jemand einen weiteren User in die lokale Gruppen "Administratoren" hinzufügt wird der beim nächsten gpupdate wieder rausgefegt.
Cheers,
jsysde
Per GPO/GPP die lokale Admin-Gruppe leerräumen und nur die User bzw. Gruppen wieder hinzufügen, die dort auch reingehören.
Ist mit drei Mausklicks zu erledigen und wird dank GPO auch immer wieder durchgesetzt - also selbst wenn jemand einen weiteren User in die lokale Gruppen "Administratoren" hinzufügt wird der beim nächsten gpupdate wieder rausgefegt.
Cheers,
jsysde
1
