8
Wann AD und wann lokale Useranlage
Hallo Community,
ich habe mal eine Frage bezüglich der Unterscheidung zwischen Active Directory Usern und lokalen Usern. Würdet ihr wenn man die Wahl zwischen den beiden Methoden hat, immer einen neuen User als Active Directory User anlegen? Checke nicht welche Vorteile ein lokaler Benutzer gegenüber AD Usern haben soll.
Würde intuitiv Dienstuser, über den eine Applikation als Dienst laufen soll, irgendwie immer als AD anlegen und dachte mir es gibt bestimmt gute Gründe warum man auch das andere machen kann/ sollte in manchen Situationen.
Kann mir da jmd beim Verständnis helfen ^^
ich habe mal eine Frage bezüglich der Unterscheidung zwischen Active Directory Usern und lokalen Usern. Würdet ihr wenn man die Wahl zwischen den beiden Methoden hat, immer einen neuen User als Active Directory User anlegen? Checke nicht welche Vorteile ein lokaler Benutzer gegenüber AD Usern haben soll.
Würde intuitiv Dienstuser, über den eine Applikation als Dienst laufen soll, irgendwie immer als AD anlegen und dachte mir es gibt bestimmt gute Gründe warum man auch das andere machen kann/ sollte in manchen Situationen.
Kann mir da jmd beim Verständnis helfen ^^
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672577
Url: https://administrator.de/forum/wann-ad-und-wann-lokale-useranlage-672577.html
Ausgedruckt am: 22.04.2025 um 17:04 Uhr
8 Kommentare
Neuester Kommentar
Moin,
eigentlich immer AD.
Eine Ausnahme gibt es bei verschiedenen Kunden mit Home-Office-PCs oder Notebooks wo man sich mit dem gleichen User auf einen RDS anmeldet. Ob das wirklich einen Grund hat mage ich bezweifeln.
In Zeiten von O365-Anmeldung mit AD synchronisiert fällt das meist schon weg.
Stefan
eigentlich immer AD.
Eine Ausnahme gibt es bei verschiedenen Kunden mit Home-Office-PCs oder Notebooks wo man sich mit dem gleichen User auf einen RDS anmeldet. Ob das wirklich einen Grund hat mage ich bezweifeln.
In Zeiten von O365-Anmeldung mit AD synchronisiert fällt das meist schon weg.
Stefan
Hallo,
mit einem Kunden verfolge ich das Konzept, kein M$ AD mehr. Es handelt sich dabei um Clients, welche sich per RDP auf den RDS Server verbinden, dazu braucht es kein AD. Die Nutzer werden auf dem RDS Server lokal erstellt.
Im Optimalfall reicht Linux Mint + Remmina, d.h. es kann auch "Windows 10 Hardware" weiter verwendet werden. Linux Mint hält sich von selbst up2date, d.h. auch hier gibt es kein to Do mehr.
Das Ding ist einfach, keiner weiß was Microsoft aufstellt, Cloudzwang, Abo, Zwangssoftware,... weshalb wir uns davon lösen möchten.
Eine Domänenverwaltung muss aber nicht von M$ sein, stimmt.
mit einem Kunden verfolge ich das Konzept, kein M$ AD mehr. Es handelt sich dabei um Clients, welche sich per RDP auf den RDS Server verbinden, dazu braucht es kein AD. Die Nutzer werden auf dem RDS Server lokal erstellt.
Im Optimalfall reicht Linux Mint + Remmina, d.h. es kann auch "Windows 10 Hardware" weiter verwendet werden. Linux Mint hält sich von selbst up2date, d.h. auch hier gibt es kein to Do mehr.
Das Ding ist einfach, keiner weiß was Microsoft aufstellt, Cloudzwang, Abo, Zwangssoftware,... weshalb wir uns davon lösen möchten.
Eine Domänenverwaltung muss aber nicht von M$ sein, stimmt.
Moin,
generell AD mit zugehöriger Gruppe(n), über die die Zugriffe geregelt werden. Lokaler Benutzer wäre lediglich ein Admin Konto (LAPS Stichwort) damit der PC administriert werden kann, wenn kein DC zur Verfügung steht.
Gruß
generell AD mit zugehöriger Gruppe(n), über die die Zugriffe geregelt werden. Lokaler Benutzer wäre lediglich ein Admin Konto (LAPS Stichwort) damit der PC administriert werden kann, wenn kein DC zur Verfügung steht.
Gruß
Im Grunde kann man fast immer einen AD-User verwenden.
Mir fallen da nur zwei Punkte ein, die wirklich einen lokalen User benötigen.
Da wäre zum einen, wenn ein bestimmter Dienst tatsächlich einen lokalen User verlangt oder dann zum anderen, aus rein sicherheitstechnischen Aspekten, wenn man abgetrennte Systeme haben will.
Man kann fast alles über die Berechtigungen im AD regeln. Trotzdem habe ich es manchmal lieber, wenn eine Drittsoftware über einen lokalen User konfiguriert wird.
Mir fallen da nur zwei Punkte ein, die wirklich einen lokalen User benötigen.
Da wäre zum einen, wenn ein bestimmter Dienst tatsächlich einen lokalen User verlangt oder dann zum anderen, aus rein sicherheitstechnischen Aspekten, wenn man abgetrennte Systeme haben will.
Man kann fast alles über die Berechtigungen im AD regeln. Trotzdem habe ich es manchmal lieber, wenn eine Drittsoftware über einen lokalen User konfiguriert wird.
wir haben lokale User für OT-Geräte verwendet, die keine Domänenmitgliedschaft haben und von denen der Betreiber selbst auch sagt dass die komplett autark und unabhängig laufen sollen.
AD-User sind natürlich einfacher... ich erstell den einmal, verpass dem ein Kennwort mit 60 Zeichen und vielleicht verteile ich den dann auch über GPO... aber wenn dann das Kennwort doch mal kompromittiert sein sollte dann sind vielleicht mehrere Systeme davon betroffen.
bei uns schreibt die Cyberversicherung vor, wie wir das handeln sollen... keines der beiden Methoden hat Vor- oder Nachteile, es geht eher darum für welchen Anwendungsbereich oder Verwendungszweck du das haben möchtest...
AD-User sind natürlich einfacher... ich erstell den einmal, verpass dem ein Kennwort mit 60 Zeichen und vielleicht verteile ich den dann auch über GPO... aber wenn dann das Kennwort doch mal kompromittiert sein sollte dann sind vielleicht mehrere Systeme davon betroffen.
bei uns schreibt die Cyberversicherung vor, wie wir das handeln sollen... keines der beiden Methoden hat Vor- oder Nachteile, es geht eher darum für welchen Anwendungsbereich oder Verwendungszweck du das haben möchtest...
Sobald du einen Dienstuser als AD Objekt für einen Dienst lauf lässt, läufst du eher Gefahr das dieser Dienst per Rechteausweitung Schaden verursacht. Dienste die einen AD User benötigen sind selten und zwar nur dann wenn ein Datenaustausch zwischen dem Dienst und eine AD Resscource ausgetauscht werden muss, ansonsten wäre mir das Geld für die CAL schon zu Schade, von den ganzen sinnlosen Objekten im AD mal ganz abgesehen.
Für Dienstkonten ja, da nur wenn nötig einen AD-Benutzer. Wird aber auch manchmal benötigt (z.B. wenn Benutzer auslesen willst.) Dafür bietet sich aber dann eher Group Managed Service Accounts an.
https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks ...
https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks ...
