Lokaler Admin GPO?
Servus,
wir haben folgendes Problem bzw. eine Thematik. Wir brauchen bei unseren PC´s den lokalen Administrator. Den setzten wir jedes mal neu in der Computerverwaltung und auch die dazugehörigen settings. (Kennwort, Kennwort läuft nicht ab etc.) kann man das alles einfach per GPO (Gruppenrichtlinie) ausrollen?
Danke für die Hilfe
wir haben folgendes Problem bzw. eine Thematik. Wir brauchen bei unseren PC´s den lokalen Administrator. Den setzten wir jedes mal neu in der Computerverwaltung und auch die dazugehörigen settings. (Kennwort, Kennwort läuft nicht ab etc.) kann man das alles einfach per GPO (Gruppenrichtlinie) ausrollen?
Danke für die Hilfe
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 43302018863
Url: https://administrator.de/forum/lokaler-admin-gpo-43302018863.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
12 Kommentare
Neuester Kommentar
Guten Tag,
ohne das Betriebssystem zu kennen würde ich mal das hier in Raum werfen:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-over ...
Gruß
ohne das Betriebssystem zu kennen würde ich mal das hier in Raum werfen:
https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-over ...
Gruß
Moin,
wir haben dieses Skript über den Domaincontroller auf unsere Geräte ausgerollt
Du musst entsprechend den Usernamen & das Passwort oben in den Credentials anpassen, mach aber nicht den Fehler und nimm admin, administrator oder ähnliches, .\vader oder so ist für einen lokalen Admin ganz nett, Passwort läuft nicht ab, und der Code gibt dir aus welche PC´s nicht erreichbar waren.
Ich würde mich aber mit LDAP wie Kollege @CH3COOH auseinandersetzen, da hier das PW nicht statisch ist...
Für schnelle Hilfe ist das Script gut, aber nicht zum Dauereinsatz.... BTW. stellen wir gerade auf LDAP um, und auch auf dynamische local Admins mit Zufallskennwörter
Grüße
Aja Skript ohne Garantie ;)
wir haben dieses Skript über den Domaincontroller auf unsere Geräte ausgerollt
# Administrator-Anmeldeinformationen
$Username = "BITTENICHT-admin-oderähnliches"
$Password = ConvertTo-SecureString "SICHERESPASSWORT_SETZEN" -AsPlainText -Force
$LocalAdminGroup = "SICHERHEITSGRUPPE"
# Computernamen aus der CSV-Datei lesen
$computers = Import-Csv -Path "C:\temp\computers.csv"
# Liste für nicht erreichbare Computer
$notReachableComputers = @()
foreach ($computer in $computers) {
$computerName = $computer.ComputerName
# Überprüfen, ob der Computer erreichbar ist
if (Test-Connection -ComputerName $computerName -Count 2 -Quiet) {
# Erstellen des neuen Benutzerkontos auf dem Zielcomputer
Invoke-Command -ComputerName $computerName -ScriptBlock {
param($Username, $Password, $LocalAdminGroup)
# Benutzerkonto erstellen
if (-not (Get-LocalUser -Name $Username -ErrorAction SilentlyContinue)) {
New-LocalUser -Name $Username -Password $Password -FullName "NeinHorn" -Description "Lokales Konto"
Add-LocalGroupMember -Group $LocalAdminGroup -Member $Username
Set-LocalUser -Name $Username -PasswordNeverExpires $true
Write-Host "Benutzerkonto $Username auf $env:COMPUTERNAME erstellt."
} else {
Write-Host "Benutzerkonto $Username existiert bereits auf $env:COMPUTERNAME."
# Sicherstellen, dass das Passwort nie abläuft
Set-LocalUser -Name $Username -PasswordNeverExpires $true
}
} -ArgumentList $Username, $Password, $LocalAdminGroup
} else {
Write-Host "Kann keine Verbindung zu $computerName herstellen."
$notReachableComputers += $computerName
}
}
# Erstellen einer Textdatei mit den Namen der nicht erreichbaren Computer
if ($notReachableComputers.Count -gt 0) {
$notReachableComputers | Out-File -FilePath "C:\temp\NotReachableComputers.txt"
Write-Host "Liste der nicht erreichbaren Computer wurde in 'C:\temp\NotReachableComputers.txt' gespeichert."
} else {
Write-Host "Alle Computer waren erreichbar."
}
# Hinweis:
# Es muss eine .csv-Datei mit den Computernamen unter C:\temp\computers.csv vorliegen.
# Beispiel für den Export von Computernamen:
# Get-ADComputer -Filter * -SearchBase "OU-wo-gewünscht" | Select-Object -ExpandProperty Name | Export-Csv -Path "C:\temp\computers.csv" -NoTypeInformation
Du musst entsprechend den Usernamen & das Passwort oben in den Credentials anpassen, mach aber nicht den Fehler und nimm admin, administrator oder ähnliches, .\vader oder so ist für einen lokalen Admin ganz nett, Passwort läuft nicht ab, und der Code gibt dir aus welche PC´s nicht erreichbar waren.
Ich würde mich aber mit LDAP wie Kollege @CH3COOH auseinandersetzen, da hier das PW nicht statisch ist...
Für schnelle Hilfe ist das Script gut, aber nicht zum Dauereinsatz.... BTW. stellen wir gerade auf LDAP um, und auch auf dynamische local Admins mit Zufallskennwörter
Grüße
Aja Skript ohne Garantie ;)
In einer Domäne lokale Konten für den Alltagssupport zu nutzen, ist fragwürdig. Für Notfälle, wo kein Netzwerkzugriff besteht, aktiviere auch ich den lokalen Administrator, ja, aber abgesehen davon ist die Konzeption LAPS Murks, da man nicht an Domänenressourcen kommt, ohne weitere Konten zur Hilfe nehmen zu müssen.
Besser: Sicherer Umgang mit Supportkonten
Besser: Sicherer Umgang mit Supportkonten
Hallo @DerWoWusste,
wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin? Das kann ja dann nur über den Systemkontext mit irgendeinem 3rd Party Zauber sein.
Das Gerät kennt dann weder andere, noch nie angemeldete User, noch werden Änderungen über die Domäne möglich sein.
LG
wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin? Das kann ja dann nur über den Systemkontext mit irgendeinem 3rd Party Zauber sein.
Das Gerät kennt dann weder andere, noch nie angemeldete User, noch werden Änderungen über die Domäne möglich sein.
LG
Zitat von @DerWoWusste:
wie aktiviert man denn auf einem isolierten Gerät den lokalen Admin?
Boote ein Windows-Setup, entsperre das gebitlockte c:, modifiziere dessen Registry um den Administrator zu aktivieren. Fertig. Dafür brauche ich 2 Minuten.Sehr alltagstauglich.
Zitat von @ThePinky777:
Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"
Per startscript am Computer per GPO Script ausführen welches User anlegt usw...
gibts per VBS, Powershell je nach belieben... eventuell sogar rein DOS basierte scripts.
Muss man sich einfach raussuchen im Google "VBS Script Add lokal user account"
oder "powershell Script Add lokal user account"
Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.
Erstellen kann man so den account zwar schon, aber auf keinen fall sollte man damit ein passwort setzen. Denn das könnte natürlich jeder domänen-benutzer im klartext lesen.
Es wäre schon grober Unfug, das Kennwort fest und für alle gleich zu setzen.Wenn per Skript, dann randomised und den Output dann nur dem Admin zugänglich, für die Ersteller (= Systemkonten der Clients) natürlich nur write-only.