abstracktersystemimperator
Goto Top

Zentralisierte Steuerung der lokalen Adminrechte über das AD und per GPO

Moin zusammen,
ich möchte mich vorab für die für mich "klassische Sonntagsfrage" entschuldigen. face-smile
Aktuell stehe ich vor der nächsten großen Herausforderung und bräuchte bitte von euch, eine Expertise. Nämlich habe aktuell das Problem, dass ich die Logik hinter meiner Aufgabe nicht ganz nachvollziehen kann bzw. die Aussagen unseres ISB nicht ganz richtig verstehe, wie sich die Person es vorstellt. Ich beziehe mich erst Mal nur auf meinen Standort, da es sonst viel zu kompliziert wird, weil ich nicht weiß, wie meine anderen IT-Kollegen arbeiten. "Kommunikation wird groß geschrieben, es ist schließlich ein Nomen ;-D)

Mein aktueller IST-Zustand ist historisch gewachsen. Unsere Dev's benötigen zum debuggen und coden, lokale Adminrechte. Das bedeutet, dass ich, wenn ich neue Laptops vorbereite, den Laptop konfiguriere und über lokale Benutzer und Gruppen, die Kollegen in die Gruppe "Administratoren" hinzufüge. Ob dass nun gut oder schlecht ist, lassen wir bitte außen vor. Das steht erst Mal bitte nicht zur Debatte.

Mein SOLL-Zustand soll sein, dass es in Zukunft ausschließlich über das AD via GPO's gesteuert wird, so dass der User zwei Konten bekommt.

Als Beispiel:

Hans hat einen Laptop. Hans meldet sich ganz normal als normaler Benutzer mit dem Benutzer "Hans" an.
Wenn lokale Rechte benötigt werden, soll Hans im AD einen weiteren User z.B. "LA (LocalAdmin)" also "LAHans" erhalten.
So und da widerspricht sich der ISB, weil wiederum nichts lokales passieren soll, sondern alles über das AD. Administrative Domänen Rechte soll Hans nicht erhalten. Nur lokale, die er mit "LAHans" ausführen kann.
Zusätzlich soll es so umgesetzt werden, dass wir jeder Zeit über die GPO's die Möglichkeit haben, dass wir den "LAHans" entziehen können ohne, dass Hans es mitbekommt bzw. nur darüber informiert wird.

Als weiteres Feature soll ich es so umsetzen, dass wenn sich z.B. der User Hans, der ein Laptop Namens "Hans-Laptop" hat, sich an dem Laptop "Müller-Laptop" anmeldet, keine administrativen Rechte hat, die er noch am Laptop "Hans-Laptop" hat.

Also das quasi die ("lokalen") administrativen Rechte nur für den Laptop gelten, den der jeweilige Mitarbeiter hat.

Hoffentlich ist das ein bisschen verständlich... :-X

Was ich nur von meinem vorherigen Arbeitgeber mitgenommen habe ist, dass es da über die Computerkonten via GPO lief. Was wiederum so konfiguriert wurde, weil es "Power Workstations" waren, die auf jeden Fall für CAD/CAM administrative Rechte brauchten, dass wenn sich Peter am Laptop von Olaf angemeldet hatte, der Peter auch administrative Rechte hatte, aber das ist in meinem Fall nicht so gewünscht.

Daher in kurz Form mein Frage an euch: Ist das tatsächlich so möglich, es so nach deren Vorgaben umzusetzen?

Viele Grüße und euch allen ein schönes restliche Wochenende!

Grüße
AS

Content-ID: 669387

Url: https://administrator.de/contentid/669387

Ausgedruckt am: 03.12.2024 um 17:12 Uhr

150940
Lösung 150940 10.11.2024 aktualisiert um 15:24:51 Uhr
Goto Top
Mitgliedschaften in lokalen Gruppen steuerst du via GPO über Restricted groups

1000004719

Gruß catrell
AbstrackterSystemimperator
AbstrackterSystemimperator 10.11.2024 um 15:25:29 Uhr
Goto Top
Zitat von @150940:

Mitgliedschaften in lokalen Gruppen steuerst du via GPO über Restricted groups

Gruß catrell

Hey @150940
Ja, ich habe dazu auch einige Artikel und Videos gesehen, aber da war immer die Aussage, dass wenn ich das so mache, dass wiederum die Person auch auf jeden Gerät die Rechte erhält, was wiederum nicht sein soll oder habe ich da was falsch verstanden?

Gruß
AS
150940
Lösung 150940 10.11.2024 aktualisiert um 15:30:02 Uhr
Goto Top
Zitat von @AbstrackterSystemimperator:
Hey @150940
Ja, ich habe dazu auch einige Artikel und Videos gesehen, aber da war immer die Aussage, dass wenn ich das so mache, dass wiederum die Person auch auf jeden Gerät die Rechte erhält,
Nö, die GPO gilt nur für die Geräte für die du sie selbst definierst, bzw. auf welche OU du die GPO anwendest oder sie per ACL einschränkst bestimmst du selbst.

oder habe ich da was falsch verstanden?
Jepp, das ist eine Computer-GPO keine User-GPO.
AbstrackterSystemimperator
AbstrackterSystemimperator 10.11.2024 um 15:31:47 Uhr
Goto Top
Zitat von @150940:

Zitat von @AbstrackterSystemimperator:
Hey @150940
Ja, ich habe dazu auch einige Artikel und Videos gesehen, aber da war immer die Aussage, dass wenn ich das so mache, dass wiederum die Person auch auf jeden Gerät die Rechte erhält,
Nö, die GPO gilt nur für die Geräte für die du sie selbst definierst, bzw. auf welche OU du die GPO anwendest oder sie per ACL einschränkst bestimmst du selbst.


Merci dir! Dann werde ich mal dafür sorgen, dass ich das so a) konfiguriere, es b) testen werde und c) meine Leute, die dauerhaft im HO sind, sich auch mit dem VPN verbinden müssen, damit die GPO greifen wird.

oder habe ich da was falsch verstanden?
Jepp, das ist eine Computer-GPO keine User-GPO.

Perfekt! Danke!
Jetzt kann ich in den erholsamen Urlaub!

Grüße
AS
150940
150940 10.11.2024 aktualisiert um 15:38:47 Uhr
Goto Top
Jetzt kann ich in den erholsamen Urlaub!
Schönen🏝️
DerWoWusste
DerWoWusste 10.11.2024 um 19:21:29 Uhr
Goto Top
Per restricted groups GPO hieße das: eine GPO pro Gerät. Besser wäre doch, jedem Gerät einen Admin %computername%admin im AD zu erstellen und den per Skript-Einzeiler als lokalen Admin einzutragen. Soll er nicht länger zur Verfügung stehen, deaktiviert man ihn im AD.
Soweit ist das mehr als trivial.

Interessant wird es doch erst, wenn man festlegt, wie man diese Konten dann nutzt:
Mit Kennwort oder Smartcard?
Dauerhaft aktiv oder (sicherer) nur wenn der zugeordnete Nutzer auch angemeldet ist?

Ich verlinken meinen Ansatz: Tipp zur Nutzung von Zweitaccounts unter Windows
SlainteMhath
SlainteMhath 11.11.2024 um 08:29:04 Uhr
Goto Top
Moin,

mein Ansatz währe folgender:
1. Für jedes Entwickler-Device ein Gruppe "LocalAdmins-<device>" erstellen, die dann (per Hand oder per Script während der Einrichtung) in als Member in die lokale "Administratoren" Gruppe aufnehmen.
2. Im AD dann einen User erstellen "LocalAdmin-<entwickler>" und den in die "LocalAdmins-...." Gruppe aufnehmen.

Vorteil: Vollständig transparent, komplett im AD verwaltet, und gegenüber eurem ISB reportingfähig face-smile

lg,
Slainte
ElmerAcmeee
ElmerAcmeee 11.11.2024 um 11:57:08 Uhr
Goto Top
Hunter2598
Hunter2598 12.11.2024 um 10:06:28 Uhr
Goto Top
Zusätzlich soll es so umgesetzt werden, dass wir jeder Zeit über die GPO's die Möglichkeit haben, dass wir den "LAHans" entziehen können ohne, dass Hans es mitbekommt bzw. nur darüber informiert wird.

Kleine Nachtrag, da interessant:

https://www.gruppenrichtlinien.de/artikel/admin-sein-admin-bleiben-hacke ...