Domänen Admin - Lokaler Admin W7 installationen

[Gulp 227]

Exactamundo, danke Norbert (der einen Hauch schneller war als ich .....)

 

Grüsse

 

Gulp

[RobDust 11]

Hi Danke für die Antworten, das Turorial habe ich schon gesehen, war mir zu kompliziert, daher der Umweg überm admin.

 

Mich würde noch interessieren:

 

Mit Domänenadminrechten schmeiss ich (oder auch ein unbedarfter User) Dir in 1 Minuten Deine Domäne weg ohne jemals pyhsikalisch oder per RDP auf oder am DC gewesen zu sein, das ist ja gerade der Witz.

 

wie genau? Also ich glaube es dir schon, nur wüsste ich gerne wissen das einem unbedarftem User passieren kann.

 

 

PS: Was haltet ihr hiervon? Net Localgroup <Gruppenname> <Kontoname> /add

fügt das angegebene Konto einer Gruppe hinzu

 

Dies mit in den Anmeldescript packen?

Es ist echt egal, was der User dann auf dem PC anstellt. (aber das versehentliche zerschiessen, des DC sollte doch verhindert werden)

[Vainac 10]

@RobDust

Dafür gibt es viele Möglichkeiten, da ja laut deiner Aussage sogar noch Floppy vorhanden ist, stellt das Einschleusen von schadhafter Software ja kein Problem da, aber alternativ würde mir dazu einfallen.

-Löschen von sämtlichen Daten aus dem AD per Zugriff auf die administrativen Freigaben

-Löschen oder verändern der Netlogon Verzeichnisse

-"versehentliches" löschen von freigegebenen Druckern auf anderen System oder dem DC

usw. usw.

 

Ich denke nicht, das dir hier jemand etwas böses will, aber das was du eingerichtet hast ist nicht nur eine offene Haustür, sondern das ist eine offene Haustür mit Schild, Anrufbeantworter mit Text das du im Urlaub bist und großen roten Neon Pfeilen. :-)

 

Gruß Vainac

[RobDust 11]

@gulp, da kamm dir ja wieder einer zuvor :-)

Ok das mit dem

-Löschen von sämtlichen Daten aus dem AD per Zugriff auf die administrativen Freigaben

-Löschen oder verändern der Netlogon Verzeichnisse

ist möglich und nicht gut.

 

Wie gesagt, wenn die die Clients verunstallten ist es kein Problem. Immerhin kann auch jeder seinen eigenen Verunstallten. Pech gehabt.

Aber der DC sollte laufen :-)

Daher wie ist es hiermit:

Net Localgroup <Gruppenname> <Kontoname> /add (wobei ich den Befehl, ja merfach für jeden User ausführen müsste?)

Dies mit in den Anmeldescript packen? Würde dies das o.g. verhindern? aber den User zu einem lokalem Admin am angemeldetem PC machen?

[Vainac 10]

@RobDust:

Genau das was du vorhast, wird in dem Link von NorbertFe beschrieben. :-)

 

Nur halt nicht per händischem Skript, sondern hübsch per Gruppenrichtlinie.

 

Gruß Vainac

[RobDust 11]

Ich mag aber Scripts :-)

 

ne Spaß beiseite, wir haben eh ein Script. Wegen den Netzlaufwerken.

Würde da gerne dann die Zeilen hinzufügen:

 

net localgroup /add administratoren localadmins

net localgroup /add administrators localadmins

 

Wobei localadmins eine Gruppe auf dem Server ist, indem sich meine User befinden.

Sollte Funktioniereren? Und gleichzeitig meinen DC nicht zu sehr öffnen.

[Vainac 10]

Ja, das sieht nach einem gerade noch vertretbarem Workaround aus.

 

Gruß Vainac

[RobDust 11]

Oder falls ich die andere Lösung wähle:

 

Dann muss ich Als erstes eine Gruppe (z.B. lokadmins) erstellen, alle User reinpacken.

 

Danach in den GPO unter Computerkonfiguration->Windows-Einstellungen->Sicherheitseinstellungen->Eingeschränkte Gruppen--> Gruppe Hinzufügen.

 

Muss ich dort auf Durchsuchen klicken?!

Oder einfach Administratoren eintragen (Und diese sind dann die lokalen Administratoren auf meinen PCs?)

 

So und weiter weiß ich nicht?

Ich würde dann das erste wählen (Mitglieder dieser Gruppe) Hinzufügen-> Dort wähle ich dann meine Gruppe (z.B. lokadmins).

 

Aber würde das nicht meine Gruppe auch die User zu lokalen Admins auf dem Server machen?

[Vainac 10]

Ja, das ist m.M. das normale Vorgehen für solche Gruppenzuweisungen.

[zahni 523]

 

 

Boar ich hol nochmal aus?! Wie am DC anmelden`? Da kommen die pysikalisch mit Ihrem griffeln gar nicht hin... remotdesktop ist nicht möglich... noch irgendwelche Crack ideen für normal unsterbliche nicht mögliche dinge? Erklär mal, das würde mich jetzt interessieren, dann mach ich das Schlupploch gerne dicht.

 

Wo lebst Du denn ? Ein User kann remote alles ändern. Auch Remote Desktop einschalten, Deine Datenwsicherung am sichern hindern (Du kennst NFTS-Rechte), Dich ägern, immer wenn Du Dich anmeldest den DC runterfahren, Nachrichten an Deinen Chef in deinem Namen schicken, Dich dauerhauft aussperren.

 

Viel Erfolg noch bei Deinem Job...

[Sunny61 773]

Ich mag aber Scripts :-)

 

Freunde dich mit aktueller Technik an.

 

net localgroup /add administratoren localadmins

net localgroup /add administrators localadmins

 

Wobei localadmins eine Gruppe auf dem Server ist, indem sich meine User befinden.

Sollte Funktioniereren? Und gleichzeitig meinen DC nicht zu sehr öffnen.

 

Probier es aus. Setz dich doch an einen PC mit einem angemeldeten normalen Benutzer, jetzt den Befehl eingeben. Was passiert? Ganz wichtig, der Benutzer darf kein Admin auf der Maschine sein.

 

In der Zwischenzeit hättest Du schon längst das HowTo von Gruppenrichtlinien.de umgesetzt.

[Dr.Melzer 191]

Sorry aber wir haben besseres zu tun als technische Selbstmörder zu unterstützen.

 

Der Beitrag ist geschlossen.

 

vielen Dank an alle die zu helfen versucht haben.