it-krieger
Jun 27, 2024
view936
view12
0
Goto Top

Lokaler Admin GPO?

GermanQuestionMicrosoft
Servus,

wir haben folgendes Problem bzw. eine Thematik. Wir brauchen bei unseren PC´s den lokalen Administrator. Den setzten wir jedes mal neu in der Computerverwaltung und auch die dazugehörigen settings. (Kennwort, Kennwort läuft nicht ab etc.) kann man das alles einfach per GPO (Gruppenrichtlinie) ausrollen?

Danke für die Hilfeface-smile
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 43302018863

Url: https://administrator.de/contentid/43302018863

Printed on: June 30, 2024 at 06:06 o'clock

12 Comments
Latest comment
Goto Top
Member: CH3COOH
CH3COOH Jun 27, 2024 at 10:38:21 (UTC)
Goto Top
Guten Tag,
ohne das Betriebssystem zu kennen würde ich mal das hier in Raum werfen:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-over ...
Gruß
heart5
Member: MrHeisenberg
MrHeisenberg Jun 27, 2024 updated at 10:51:40 (UTC)
Goto Top
Moin,

wir haben dieses Skript über den Domaincontroller auf unsere Geräte ausgerollt

# Administrator-Anmeldeinformationen
$Username = "BITTENICHT-admin-oderähnliches"  
$Password = ConvertTo-SecureString "SICHERESPASSWORT_SETZEN" -AsPlainText -Force  
$LocalAdminGroup = "SICHERHEITSGRUPPE"  

# Computernamen aus der CSV-Datei lesen
$computers = Import-Csv -Path "C:\temp\computers.csv"  

# Liste für nicht erreichbare Computer
$notReachableComputers = @()

foreach ($computer in $computers) {
    $computerName = $computer.ComputerName
    # Überprüfen, ob der Computer erreichbar ist
    if (Test-Connection -ComputerName $computerName -Count 2 -Quiet) {
        # Erstellen des neuen Benutzerkontos auf dem Zielcomputer
        Invoke-Command -ComputerName $computerName -ScriptBlock {
            param($Username, $Password, $LocalAdminGroup)
            # Benutzerkonto erstellen
            if (-not (Get-LocalUser -Name $Username -ErrorAction SilentlyContinue)) {
                New-LocalUser -Name $Username -Password $Password -FullName "NeinHorn" -Description "Lokales Konto"  
                Add-LocalGroupMember -Group $LocalAdminGroup -Member $Username
                Set-LocalUser -Name $Username -PasswordNeverExpires $true
                Write-Host "Benutzerkonto $Username auf $env:COMPUTERNAME erstellt."  
            } else {
                Write-Host "Benutzerkonto $Username existiert bereits auf $env:COMPUTERNAME."  
                # Sicherstellen, dass das Passwort nie abläuft
                Set-LocalUser -Name $Username -PasswordNeverExpires $true
            }
        } -ArgumentList $Username, $Password, $LocalAdminGroup
    } else {
        Write-Host "Kann keine Verbindung zu $computerName herstellen."  
        $notReachableComputers += $computerName
    }
}

# Erstellen einer Textdatei mit den Namen der nicht erreichbaren Computer
if ($notReachableComputers.Count -gt 0) {
    $notReachableComputers | Out-File -FilePath "C:\temp\NotReachableComputers.txt"  
    Write-Host "Liste der nicht erreichbaren Computer wurde in 'C:\temp\NotReachableComputers.txt' gespeichert."  
} else {
    Write-Host "Alle Computer waren erreichbar."  
}

# Hinweis:
# Es muss eine .csv-Datei mit den Computernamen unter C:\temp\computers.csv vorliegen.
# Beispiel für den Export von Computernamen:
# Get-ADComputer -Filter * -SearchBase "OU-wo-gewünscht" | Select-Object -ExpandProperty Name | Export-Csv -Path "C:\temp\computers.csv" -NoTypeInformation


Du musst entsprechend den Usernamen & das Passwort oben in den Credentials anpassen, mach aber nicht den Fehler und nimm admin, administrator oder ähnliches, .\vader oder so ist für einen lokalen Admin ganz nett, Passwort läuft nicht ab, und der Code gibt dir aus welche PC´s nicht erreichbar waren.

Ich würde mich aber mit LDAP wie Kollege @CH3COOH auseinandersetzen, da hier das PW nicht statisch ist...
Für schnelle Hilfe ist das Script gut, aber nicht zum Dauereinsatz.... BTW. stellen wir gerade auf LDAP um, und auch auf dynamische local Admins mit Zufallskennwörter

Grüße

Aja Skript ohne Garantie ;)
heart1
Member: MaxCalifornia
MaxCalifornia Jun 27, 2024 at 10:56:39 (UTC)
Goto Top
Falls auch eine Software erlaubt sein sollte: "Netwrix Bulk Password Reset" in einer Suchmaschine deiner Wahl suchen...
Member: Nils02
Nils02 Jun 27, 2024 at 10:56:55 (UTC)
Goto Top
Hallo,

wie bereits von @CH3COOH erwähnt, LAPS wäre der way to go face-smile

LG
heart3
Member: DerWoWusste
DerWoWusste Jun 27, 2024 at 10:57:10 (UTC)
Goto Top
In einer Domäne lokale Konten für den Alltagssupport zu nutzen, ist fragwürdig. Für Notfälle, wo kein Netzwerkzugriff besteht, aktiviere auch ich den lokalen Administrator, ja, aber abgesehen davon ist die Konzeption LAPS Murks, da man nicht an Domänenressourcen kommt, ohne weitere Konten zur Hilfe nehmen zu müssen.

Besser: Sicherer Umgang mit Supportkonten
heart1
Member: ThePinky777
ThePinky777 Jun 27, 2024 at 12:00:50 (UTC)
Goto Top
Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"
Member: Jumanji
Jumanji Jun 27, 2024 updated at 12:10:48 (UTC)
Goto Top
Hallo @DerWoWusste,

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin? Das kann ja dann nur über den Systemkontext mit irgendeinem 3rd Party Zauber sein.
Das Gerät kennt dann weder andere, noch nie angemeldete User, noch werden Änderungen über die Domäne möglich sein.

LG
Member: DerWoWusste
DerWoWusste Jun 27, 2024 updated at 12:18:27 (UTC)
Goto Top
wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?
Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.
Member: Jumanji
Jumanji Jun 27, 2024 at 12:39:30 (UTC)
Goto Top
Zitat von @DerWoWusste:

wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?
Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.

Sehr alltagstauglich.
Member: DerWoWusste
DerWoWusste Jun 27, 2024 updated at 12:44:50 (UTC)
Goto Top
Du missverstehst. Wie ich normalerweise als Admin Support leiste, ist anders, das steht in meinem Link. Booten muss ich nur, wenn mal gar nichts mehr geht, weil z.B. Netzwerkkarte ausgefallen. Das ist alltagstauglich, machen wir seit 10 Jahren so.
Member: pebcak7123
pebcak7123 Jun 27, 2024 at 13:55:29 (UTC)
Goto Top
Zitat von @ThePinky777:

Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"

Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.
Member: DerWoWusste
DerWoWusste Jun 27, 2024 updated at 14:13:27 (UTC)
Goto Top
Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.
Es wäre schon grober Unfug, das Kennwort fest und für alle gleich zu setzen.Wenn per Skript, dann randomised und den Output dann nur dem Admin zugänglich, für die Ersteller (= Systemkonten der Clients) natürlich nur write-only.
GermanQuestionMicrosoft
Hotly discussed
DaniActive Directory LDAPS certificate selection (deep dive)Dani