Lokaler Admin per GPO verteilen
Hallo.
Ich würde gerne einen Lokalen Admin per GPO an alle Rechner in der Domäne verteilen.
Hintergrund: Wir haben Standorte die nicht direkt mit unserem Netzwerk verbunden sind ( nur VPN) und auch eine menge Berater die ständig unterwegs sind.
Gerade an den anderen Standorten kommt es vor das Notebooks den Besitzer wechseln. Da diese beim hochfahren noch nicht mit unserem Netz verbunden sind kann sich auch kein neuer USer anmelden.
Ich brauche also eine lokalen User der die Möglichkeit hat dann eine VPN Verbindung herzustellen. Über "Benutzer wechseln" kann sich dann ein neuer USer ein Profil erstellen.
Die USer haben natürlich keine Adminrechte und hier und da kommt es schon mal vor das unser DomainAdmin ebenfalls nicht mehr fruchtet weil Windows gerade mal wieder ein Problem hat.
Deswegen wäre es hilfreich einen zusätzlichen lokalen Benutzer per GPO verteilen zu können, damit man egal ob Netz da ist oder nicht, sich immer anmelden kann. (klar, Gedanken über Passwortänderung bei diesem User müssten wir uns dann noch machen)
Kann mir jemand erklären wie genau ich das verteile per GPO?
Windows Server 2016 und die CLients sind alle Windows 10
Danke im voraus
Ich würde gerne einen Lokalen Admin per GPO an alle Rechner in der Domäne verteilen.
Hintergrund: Wir haben Standorte die nicht direkt mit unserem Netzwerk verbunden sind ( nur VPN) und auch eine menge Berater die ständig unterwegs sind.
Gerade an den anderen Standorten kommt es vor das Notebooks den Besitzer wechseln. Da diese beim hochfahren noch nicht mit unserem Netz verbunden sind kann sich auch kein neuer USer anmelden.
Ich brauche also eine lokalen User der die Möglichkeit hat dann eine VPN Verbindung herzustellen. Über "Benutzer wechseln" kann sich dann ein neuer USer ein Profil erstellen.
Die USer haben natürlich keine Adminrechte und hier und da kommt es schon mal vor das unser DomainAdmin ebenfalls nicht mehr fruchtet weil Windows gerade mal wieder ein Problem hat.
Deswegen wäre es hilfreich einen zusätzlichen lokalen Benutzer per GPO verteilen zu können, damit man egal ob Netz da ist oder nicht, sich immer anmelden kann. (klar, Gedanken über Passwortänderung bei diesem User müssten wir uns dann noch machen)
Kann mir jemand erklären wie genau ich das verteile per GPO?
Windows Server 2016 und die CLients sind alle Windows 10
Danke im voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 603149
Url: https://administrator.de/contentid/603149
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Ich glaube, Ihr redet aneinander vorbei. So, wie ich den TO verstehe, möchte er nicht AD-Mitglieder zu lokalen admins machen, sondern auf den lokalen Maschinen einen oder mehrere lokale Administratoren anlegen. Also so:
Sollte ich richtig liegen, dann such mal in
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Für die lokalen Passwörter würde ich LAPS empfehlen.
hth
Erik
Zitat von @Tektronix:
Alles in der Gruppewnrichtlinienverwaltung, den Benutzer solltes Du schon im AD haben und somit hat er auch schon ein ein PW.
Alles in der Gruppewnrichtlinienverwaltung, den Benutzer solltes Du schon im AD haben und somit hat er auch schon ein ein PW.
Ich glaube, Ihr redet aneinander vorbei. So, wie ich den TO verstehe, möchte er nicht AD-Mitglieder zu lokalen admins machen, sondern auf den lokalen Maschinen einen oder mehrere lokale Administratoren anlegen. Also so:
Rechnername\admin_hans
Rechnername\admin_clara
Sollte ich richtig liegen, dann such mal in
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Für die lokalen Passwörter würde ich LAPS empfehlen.
hth
Erik
Der Knackpunkt ist das lokale Passwort. Ohne Verbindung und mit lokalen Admin Rechten kann es schon mal vorkommen, dass dieses Passwort dann nicht mehr gültig ist. Du bekommst einen Anruf in der Zentrale, dass das Passwort nicht mehr funktioniert und du kannst auch nichts machen, weil das Gerät nicht in der Domänenreichweite bzw offline ist. Ausserdem kann man es nicht inital über Remote neu vergeben oder ändern, also ohne am Gerät zu sitzen.
Mit fallen 3 Sachen spontan ein:
1) Standort selbst ständig mit VPN verbunden lassen (über Fritzbox meinetwegen oder ein zusätzliches VPN Client Kästchen)
1) VPN SBL (Start Before Login) am Laptop selbst, WLAN und VPN lassen sich verbinden bevor ein User sich anmeldet
2) LAPS
LAPS erzeugt an den Clients ein lokales Administrator Passwort und legt es im Active Directory ab. Es wird monatlich automatisch geändert und bei erfolreichem Wechsel wird es im AD aktualisiert. Man kann also das aktuelle Passwort immer im AD auslesen. Sollte das Gerät offline sein, wird das Passwort nicht geändert, im AD steht also trotzdem immer das noch gültige Passwort. Wenn jemand anruft, dass er ein lokales Passwort benötigt, schaut man im AD nach und gibt ihm das Passwort, danach kann man den monatlichen Ablauf der automatisch Passwortänderung gleich auf den nächsten Tag vorschieben und das Passwort ist geändert, sobald er online geht bzw ins VPN. Der Anrufer hat somit Zeit alles administrativ vor Ort offline durchzuführen und kurz danach ist das Passwort verfallen.
Mit fallen 3 Sachen spontan ein:
1) Standort selbst ständig mit VPN verbunden lassen (über Fritzbox meinetwegen oder ein zusätzliches VPN Client Kästchen)
1) VPN SBL (Start Before Login) am Laptop selbst, WLAN und VPN lassen sich verbinden bevor ein User sich anmeldet
2) LAPS
LAPS erzeugt an den Clients ein lokales Administrator Passwort und legt es im Active Directory ab. Es wird monatlich automatisch geändert und bei erfolreichem Wechsel wird es im AD aktualisiert. Man kann also das aktuelle Passwort immer im AD auslesen. Sollte das Gerät offline sein, wird das Passwort nicht geändert, im AD steht also trotzdem immer das noch gültige Passwort. Wenn jemand anruft, dass er ein lokales Passwort benötigt, schaut man im AD nach und gibt ihm das Passwort, danach kann man den monatlichen Ablauf der automatisch Passwortänderung gleich auf den nächsten Tag vorschieben und das Passwort ist geändert, sobald er online geht bzw ins VPN. Der Anrufer hat somit Zeit alles administrativ vor Ort offline durchzuführen und kurz danach ist das Passwort verfallen.
Moin,
guck Dir mal den Thread zum eigentlich fast gleichen Thema an:
Remote-Powershell mit LAPS bzw lokalem Admin
Insbesondere die Tipps von @DerWoWusste
Liebe Grüße
Erik
guck Dir mal den Thread zum eigentlich fast gleichen Thema an:
Remote-Powershell mit LAPS bzw lokalem Admin
Insbesondere die Tipps von @DerWoWusste
Liebe Grüße
Erik
Huch... Was ist denn das? Ein Admin Konto ohne Passwort, das nur aktiv ist, wenn der "Schwache Benutzer" gerade eingeloggt ist? Ist das nicht der Zeitpunkt, in dem genau dann die Trojaner rein kommen?
Task1:
Name: adminaktiv,
Aktion: cmd /c net user admin /active
Trigger1: on workstation unlock of EuerSchwacherNutzer
Trigger2: on local connection of EuerSchwacherNutzer
Trigger3: at logon of EuerSchwacherNutzer
Ausführendes Konto:System
Task2:
Name: adminlocked
Aktion: cmd /c net user admin /active:no
Trigger1: on workstation lock of any user
Trigger2: on local disconnect from any user session
Trigger3: at system startup
Ausführendes Konto:System
Name: adminaktiv,
Aktion: cmd /c net user admin /active
Trigger1: on workstation unlock of EuerSchwacherNutzer
Trigger2: on local connection of EuerSchwacherNutzer
Trigger3: at logon of EuerSchwacherNutzer
Ausführendes Konto:System
Task2:
Name: adminlocked
Aktion: cmd /c net user admin /active:no
Trigger1: on workstation lock of any user
Trigger2: on local disconnect from any user session
Trigger3: at system startup
Ausführendes Konto:System