it-krieger
Goto Top

Lokaler Admin GPO?

Servus,

wir haben folgendes Problem bzw. eine Thematik. Wir brauchen bei unseren PC´s den lokalen Administrator. Den setzten wir jedes mal neu in der Computerverwaltung und auch die dazugehörigen settings. (Kennwort, Kennwort läuft nicht ab etc.) kann man das alles einfach per GPO (Gruppenrichtlinie) ausrollen?

Danke für die Hilfeface-smile

Content-ID: 43302018863

Url: https://administrator.de/forum/lokaler-admin-gpo-43302018863.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

CH3COOH
CH3COOH 27.06.2024 um 12:38:21 Uhr
Goto Top
Guten Tag,
ohne das Betriebssystem zu kennen würde ich mal das hier in Raum werfen:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-over ...
Gruß
MrHeisenberg
MrHeisenberg 27.06.2024 aktualisiert um 12:51:40 Uhr
Goto Top
Moin,

wir haben dieses Skript über den Domaincontroller auf unsere Geräte ausgerollt

# Administrator-Anmeldeinformationen
$Username = "BITTENICHT-admin-oderähnliches"  
$Password = ConvertTo-SecureString "SICHERESPASSWORT_SETZEN" -AsPlainText -Force  
$LocalAdminGroup = "SICHERHEITSGRUPPE"  

# Computernamen aus der CSV-Datei lesen
$computers = Import-Csv -Path "C:\temp\computers.csv"  

# Liste für nicht erreichbare Computer
$notReachableComputers = @()

foreach ($computer in $computers) {
    $computerName = $computer.ComputerName
    # Überprüfen, ob der Computer erreichbar ist
    if (Test-Connection -ComputerName $computerName -Count 2 -Quiet) {
        # Erstellen des neuen Benutzerkontos auf dem Zielcomputer
        Invoke-Command -ComputerName $computerName -ScriptBlock {
            param($Username, $Password, $LocalAdminGroup)
            # Benutzerkonto erstellen
            if (-not (Get-LocalUser -Name $Username -ErrorAction SilentlyContinue)) {
                New-LocalUser -Name $Username -Password $Password -FullName "NeinHorn" -Description "Lokales Konto"  
                Add-LocalGroupMember -Group $LocalAdminGroup -Member $Username
                Set-LocalUser -Name $Username -PasswordNeverExpires $true
                Write-Host "Benutzerkonto $Username auf $env:COMPUTERNAME erstellt."  
            } else {
                Write-Host "Benutzerkonto $Username existiert bereits auf $env:COMPUTERNAME."  
                # Sicherstellen, dass das Passwort nie abläuft
                Set-LocalUser -Name $Username -PasswordNeverExpires $true
            }
        } -ArgumentList $Username, $Password, $LocalAdminGroup
    } else {
        Write-Host "Kann keine Verbindung zu $computerName herstellen."  
        $notReachableComputers += $computerName
    }
}

# Erstellen einer Textdatei mit den Namen der nicht erreichbaren Computer
if ($notReachableComputers.Count -gt 0) {
    $notReachableComputers | Out-File -FilePath "C:\temp\NotReachableComputers.txt"  
    Write-Host "Liste der nicht erreichbaren Computer wurde in 'C:\temp\NotReachableComputers.txt' gespeichert."  
} else {
    Write-Host "Alle Computer waren erreichbar."  
}

# Hinweis:
# Es muss eine .csv-Datei mit den Computernamen unter C:\temp\computers.csv vorliegen.
# Beispiel für den Export von Computernamen:
# Get-ADComputer -Filter * -SearchBase "OU-wo-gewünscht" | Select-Object -ExpandProperty Name | Export-Csv -Path "C:\temp\computers.csv" -NoTypeInformation 


Du musst entsprechend den Usernamen & das Passwort oben in den Credentials anpassen, mach aber nicht den Fehler und nimm admin, administrator oder ähnliches, .\vader oder so ist für einen lokalen Admin ganz nett, Passwort läuft nicht ab, und der Code gibt dir aus welche PC´s nicht erreichbar waren.

Ich würde mich aber mit LDAP wie Kollege @CH3COOH auseinandersetzen, da hier das PW nicht statisch ist...
Für schnelle Hilfe ist das Script gut, aber nicht zum Dauereinsatz.... BTW. stellen wir gerade auf LDAP um, und auch auf dynamische local Admins mit Zufallskennwörter

Grüße

Aja Skript ohne Garantie ;)
MaxCalifornia
MaxCalifornia 27.06.2024 um 12:56:39 Uhr
Goto Top
Falls auch eine Software erlaubt sein sollte: "Netwrix Bulk Password Reset" in einer Suchmaschine deiner Wahl suchen...
Nils02
Nils02 27.06.2024 um 12:56:55 Uhr
Goto Top
Hallo,

wie bereits von @CH3COOH erwähnt, LAPS wäre der way to go face-smile

LG
DerWoWusste
DerWoWusste 27.06.2024 um 12:57:10 Uhr
Goto Top
In einer Domäne lokale Konten für den Alltagssupport zu nutzen, ist fragwürdig. Für Notfälle, wo kein Netzwerkzugriff besteht, aktiviere auch ich den lokalen Administrator, ja, aber abgesehen davon ist die Konzeption LAPS Murks, da man nicht an Domänenressourcen kommt, ohne weitere Konten zur Hilfe nehmen zu müssen.

Besser: Sicherer Umgang mit Supportkonten
ThePinky777
ThePinky777 27.06.2024 um 14:00:50 Uhr
Goto Top
Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"
Jumanji
Jumanji 27.06.2024 aktualisiert um 14:10:48 Uhr
Goto Top
Hallo @DerWoWusste,

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin? Das kann ja dann nur über den Systemkontext mit irgendeinem 3rd Party Zauber sein.
Das Gerät kennt dann weder andere, noch nie angemeldete User, noch werden Änderungen über die Domäne möglich sein.

LG
DerWoWusste
DerWoWusste 27.06.2024 aktualisiert um 14:18:27 Uhr
Goto Top
wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?
Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.
Jumanji
Jumanji 27.06.2024 um 14:39:30 Uhr
Goto Top
Zitat von @DerWoWusste:

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?
Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.

Sehr alltagstauglich.
DerWoWusste
DerWoWusste 27.06.2024 aktualisiert um 14:44:50 Uhr
Goto Top
Du missverstehst. Wie ich normalerweise als Admin Support leiste, ist anders, das steht in meinem Link. Booten muss ich nur, wenn mal gar nichts mehr geht, weil z.B. Netzwerkkarte ausgefallen. Das ist alltagstauglich, machen wir seit 10 Jahren so.
pebcak7123
pebcak7123 27.06.2024 um 15:55:29 Uhr
Goto Top
Zitat von @ThePinky777:

Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"

Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.
DerWoWusste
DerWoWusste 27.06.2024 aktualisiert um 16:13:27 Uhr
Goto Top
Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.
Es wäre schon grober Unfug, das Kennwort fest und für alle gleich zu setzen.Wenn per Skript, dann randomised und den Output dann nur dem Admin zugänglich, für die Ersteller (= Systemkonten der Clients) natürlich nur write-only.