Lokaler Admin GPO?

Servus,

wir haben folgendes Problem bzw. eine Thematik. Wir brauchen bei unseren PC´s den lokalen Administrator. Den setzten wir jedes mal neu in der Computerverwaltung und auch die dazugehörigen settings. (Kennwort, Kennwort läuft nicht ab etc.) kann man das alles einfach per GPO (Gruppenrichtlinie) ausrollen?

Danke für die Hilfe

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 43302018863

Url: https://administrator.de/contentid/43302018863

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

12 Kommentare

Neuester Kommentar

Guten Tag,
ohne das Betriebssystem zu kennen würde ich mal das hier in Raum werfen:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-over ...
Gruß

Moin,

wir haben dieses Skript über den Domaincontroller auf unsere Geräte ausgerollt

# Administrator-Anmeldeinformationen
$Username = "BITTENICHT-admin-oderähnliches"  
$Password = ConvertTo-SecureString "SICHERESPASSWORT_SETZEN" -AsPlainText -Force  
$LocalAdminGroup = "SICHERHEITSGRUPPE"  

# Computernamen aus der CSV-Datei lesen
$computers = Import-Csv -Path "C:\temp\computers.csv"  

# Liste für nicht erreichbare Computer
$notReachableComputers = @()

foreach ($computer in $computers) {
    $computerName = $computer.ComputerName
    # Überprüfen, ob der Computer erreichbar ist
    if (Test-Connection -ComputerName $computerName -Count 2 -Quiet) {
        # Erstellen des neuen Benutzerkontos auf dem Zielcomputer
        Invoke-Command -ComputerName $computerName -ScriptBlock {
            param($Username, $Password, $LocalAdminGroup)
            # Benutzerkonto erstellen
            if (-not (Get-LocalUser -Name $Username -ErrorAction SilentlyContinue)) {
                New-LocalUser -Name $Username -Password $Password -FullName "NeinHorn" -Description "Lokales Konto"  
                Add-LocalGroupMember -Group $LocalAdminGroup -Member $Username
                Set-LocalUser -Name $Username -PasswordNeverExpires $true
                Write-Host "Benutzerkonto $Username auf $env:COMPUTERNAME erstellt."  
            } else {
                Write-Host "Benutzerkonto $Username existiert bereits auf $env:COMPUTERNAME."  
                # Sicherstellen, dass das Passwort nie abläuft
                Set-LocalUser -Name $Username -PasswordNeverExpires $true
            }
        } -ArgumentList $Username, $Password, $LocalAdminGroup
    } else {
        Write-Host "Kann keine Verbindung zu $computerName herstellen."  
        $notReachableComputers += $computerName
    }
}

# Erstellen einer Textdatei mit den Namen der nicht erreichbaren Computer
if ($notReachableComputers.Count -gt 0) {
    $notReachableComputers | Out-File -FilePath "C:\temp\NotReachableComputers.txt"  
    Write-Host "Liste der nicht erreichbaren Computer wurde in 'C:\temp\NotReachableComputers.txt' gespeichert."  
} else {
    Write-Host "Alle Computer waren erreichbar."  
}

# Hinweis:
# Es muss eine .csv-Datei mit den Computernamen unter C:\temp\computers.csv vorliegen.
# Beispiel für den Export von Computernamen:
# Get-ADComputer -Filter * -SearchBase "OU-wo-gewünscht" | Select-Object -ExpandProperty Name | Export-Csv -Path "C:\temp\computers.csv" -NoTypeInformation 

Du musst entsprechend den Usernamen & das Passwort oben in den Credentials anpassen, mach aber nicht den Fehler und nimm admin, administrator oder ähnliches, .\vader oder so ist für einen lokalen Admin ganz nett, Passwort läuft nicht ab, und der Code gibt dir aus welche PC´s nicht erreichbar waren.

Ich würde mich aber mit LDAP wie Kollege @CH3COOH auseinandersetzen, da hier das PW nicht statisch ist...
Für schnelle Hilfe ist das Script gut, aber nicht zum Dauereinsatz.... BTW. stellen wir gerade auf LDAP um, und auch auf dynamische local Admins mit Zufallskennwörter

Grüße

Aja Skript ohne Garantie ;)

Falls auch eine Software erlaubt sein sollte: "Netwrix Bulk Password Reset" in einer Suchmaschine deiner Wahl suchen...

Hallo,

wie bereits von @CH3COOH erwähnt, LAPS wäre der way to go

In einer Domäne lokale Konten für den Alltagssupport zu nutzen, ist fragwürdig. Für Notfälle, wo kein Netzwerkzugriff besteht, aktiviere auch ich den lokalen Administrator, ja, aber abgesehen davon ist die Konzeption LAPS Murks, da man nicht an Domänenressourcen kommt, ohne weitere Konten zur Hilfe nehmen zu müssen.

Besser: Sicherer Umgang mit Supportkonten

Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"

Hallo @DerWoWusste,

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin? Das kann ja dann nur über den Systemkontext mit irgendeinem 3rd Party Zauber sein.
Das Gerät kennt dann weder andere, noch nie angemeldete User, noch werden Änderungen über die Domäne möglich sein.

LG

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?

Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.

Zitat von @DerWoWusste:

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?

Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.

Sehr alltagstauglich.

Du missverstehst. Wie ich normalerweise als Admin Support leiste, ist anders, das steht in meinem Link. Booten muss ich nur, wenn mal gar nichts mehr geht, weil z.B. Netzwerkkarte ausgefallen. Das ist alltagstauglich, machen wir seit 10 Jahren so.

Zitat von @ThePinky777:

Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"

Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.

Es wäre schon grober Unfug, das Kennwort fest und für alle gleich zu setzen.Wenn per Skript, dann randomised und den Output dann nur dem Admin zugänglich, für die Ersteller (= Systemkonten der Clients) natürlich nur write-only.

Frage Microsoft

Heiß diskutiert