Remoteverwaltung lokaler Adminkonten
Hallo zusammen,
ich habe folgende Aufgabenstellung bekommen, leider weiß ich noch nicht so recht, wie sich das realisieren lässt:
Kurz zur Ausgangslage: Wir haben eine zentralen Standort an dem sich alle Server und die Verwaltung befinden. Daran sind via VPN diverse Filialen angeschlossen, an denen eigentlich ausschließlich Windows 7-ThinClients verwendet werden. Die Benutzer starten dort eine WTS-Sitzung auf der zentralen Serverfarm.
Auf diesen Clients soll das voreingerichtete lokale Admin-Konto deaktiviert werden und ein anderes Konto mit Adminrechten und einem entsprechend starken Kennwort erstellt werden.
Damit dies nicht lokal vor Ort geschehen muss, hätte mein Chef gern ein PowerShell-Skript von mir, das die Deaktivierung und Neueinrichtung übernehmen kann. Nur leider kenne ich mich damit überhaupt nicht aus...
Weiß hier jemand Rat, bzw ist sowas überhaupt realisierbar?
MfG und Dank vorab, KidChino
ich habe folgende Aufgabenstellung bekommen, leider weiß ich noch nicht so recht, wie sich das realisieren lässt:
Kurz zur Ausgangslage: Wir haben eine zentralen Standort an dem sich alle Server und die Verwaltung befinden. Daran sind via VPN diverse Filialen angeschlossen, an denen eigentlich ausschließlich Windows 7-ThinClients verwendet werden. Die Benutzer starten dort eine WTS-Sitzung auf der zentralen Serverfarm.
Auf diesen Clients soll das voreingerichtete lokale Admin-Konto deaktiviert werden und ein anderes Konto mit Adminrechten und einem entsprechend starken Kennwort erstellt werden.
Damit dies nicht lokal vor Ort geschehen muss, hätte mein Chef gern ein PowerShell-Skript von mir, das die Deaktivierung und Neueinrichtung übernehmen kann. Nur leider kenne ich mich damit überhaupt nicht aus...
Weiß hier jemand Rat, bzw ist sowas überhaupt realisierbar?
MfG und Dank vorab, KidChino
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 343036
Url: https://administrator.de/forum/remoteverwaltung-lokaler-adminkonten-343036.html
Ausgedruckt am: 05.06.2025 um 22:06 Uhr
13 Kommentare
Neuester Kommentar
Lies mal Sicherer Umgang mit Supportkonten
Also ohne den Link komplett gelesen zu haben. (Sorry dafür)
Es gibt dafür eine GPO die dir alle Admins auf einem Client löscht und nach deiner Vorgabe neue Anlegt. Ist vielleicht nicht ganz so sicher wie die beschreibende Script Lösung aber für viele ausreichend. Voraussetzung ist natürlich das es sich überall um Domain Clients handelt.
Ist irgendwo unter Sicherheitseinstellungen.
Es gibt dafür eine GPO die dir alle Admins auf einem Client löscht und nach deiner Vorgabe neue Anlegt. Ist vielleicht nicht ganz so sicher wie die beschreibende Script Lösung aber für viele ausreichend. Voraussetzung ist natürlich das es sich überall um Domain Clients handelt.
Ist irgendwo unter Sicherheitseinstellungen.
@UnbekannterNR1
Nein, eine solche GPO, die neue Admins anlegt, gibt es nicht mehr. Es war ein Sicherheitsrisiko und das wurde weggepatcht.
Nein, eine solche GPO, die neue Admins anlegt, gibt es nicht mehr. Es war ein Sicherheitsrisiko und das wurde weggepatcht.
Hallo und schonmal danke für alle Antworten.
Das mit der GPO ist schade, das wäre schön einfach gewesen. Und ja, es handelt sich bei allen ThinClients um Domänen-Clients.
@DerWoWusste: Deine Anleitung klingt vielversprechend, wobei das eigentlich schon über das Ziel hinausschießt. Eine Kennwortabfrage kann ruhig erfolgen, es geht mir nur darum, das Deaktivieren und neu anlegen zu automatisieren. Es geht um tausende Clients, das händisch zu machen würde eine Ewigkeit dauern.
Das mit der GPO ist schade, das wäre schön einfach gewesen. Und ja, es handelt sich bei allen ThinClients um Domänen-Clients.
@DerWoWusste: Deine Anleitung klingt vielversprechend, wobei das eigentlich schon über das Ziel hinausschießt. Eine Kennwortabfrage kann ruhig erfolgen, es geht mir nur darum, das Deaktivieren und neu anlegen zu automatisieren. Es geht um tausende Clients, das händisch zu machen würde eine Ewigkeit dauern.
Oh Okay, das wusste ich nicht. Ich bin dann wohl auf einem alten Stand.
Ich habe hier eine 2008R2 Domain mit Win7 Clients.
Und ich meinte unter Computerkonfiguration -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Kann man die Gruppe Administration (Integriert) Aktualisieren und dabei gleich alle Mitglieder löschen.
Ab wann geht das denn nicht mehr?
Ich habe hier eine 2008R2 Domain mit Win7 Clients.
Und ich meinte unter Computerkonfiguration -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Kann man die Gruppe Administration (Integriert) Aktualisieren und dabei gleich alle Mitglieder löschen.
Ab wann geht das denn nicht mehr?
Lies die Anleitung doch mal komplett, händisch ist da gar nichts.
@unbek. es geht nur um das Kennwort setzen per GPO, das allein geht nicht mehr. Der Rest geht noch. Der Patch war von 2013 oder 2015? bin gerade unsicher.
@unbek. es geht nur um das Kennwort setzen per GPO, das allein geht nicht mehr. Der Rest geht noch. Der Patch war von 2013 oder 2015? bin gerade unsicher.
1
Habe ich gemacht, du hast meinen Kommentar falsch aufgefasst. ;)
Wollte damit nur sagen, dass deine Anleitung mehr Anforderungen abdeckt als ich habe. Ich müsste die Konten zum Beispiel nicht deaktiviert anlegen und das Kennwort bräuchte auch nicht zufällig zu sein.
Ich werde es mal so in der Art probieren und mich dann noch mal melden ob es geklappt hat.
Wollte damit nur sagen, dass deine Anleitung mehr Anforderungen abdeckt als ich habe. Ich müsste die Konten zum Beispiel nicht deaktiviert anlegen und das Kennwort bräuchte auch nicht zufällig zu sein.
Ich werde es mal so in der Art probieren und mich dann noch mal melden ob es geklappt hat.
Moin,
Gruß,
Dani
Der Patch war von 2013 oder 2015? bin gerade unsicher.
nicht ganz.. Jahr 2014, MS14-025.Gruß,
Dani
Klingt nach nem Typischen Fall von Microsoft LAPS
Allerdings die Adminkonten anlegen muss ich grad passen.
Allerdings die Adminkonten anlegen muss ich grad passen.
Joa, wer sich LAPS antun will... es sind lokale Konten. Dann administriere/supporte mal mit denen, wenn Du noch nicht einmal das lokale Netzwerk nutzen kannst. Wer dann vorbringt, man könne doch dazu wieder mit runas Credentials eines Domänennutzers angeben, hat dann auch wieder andere Probleme. Ich würde meine Lösung LAPS ganz klar vorziehen.
Verstehe nicht ganz was du meinst? Du meinst, wenn der User nicht mehr im lokalen Netzwerk ist sollte LAPS nicht mehr funktionieren?
LAPS nutzt den lokalen eingebauten Admin "Administrator". Wofür sollte man den denn nutzen wollen in einem Netzwerk? Lokale Einstellungen ändern, ja. USB-Stick einschieben und was installieren, klar, das geht auch. Auch kannst Du mit dem Domänenkonto ein Setup rüberkopieren und es dann als lokaler Admin starten, ja. Aber es ist doch weitaus komfortabler, wenn das Adminkonto selbst schon auf Domänenressourcen zugreifen kann, wie in meiner Lösung.
Ahh jetzt verstehe ich. Da hast du recht, hat doch einen gewissen komfort.
Man kann auch ein anderes Adminkonto verwenden. Nur so nebenbei.
Man kann auch ein anderes Adminkonto verwenden. Nur so nebenbei.
