Maraun 12 Geschrieben 9. Februar 2016 Melden Geschrieben 9. Februar 2016 Hallo zusammen, wir haben eine 2003er Domäne mit DC´s von 2003 - 2012. Der vordefinierte lokale Administrator User ist deaktiviert und dafür ist ein lokaler Admin-Benutzer per Softwareverteilung gesetzt.Jetzt meine Frage: Laut MS gibt es Sicherheitsbedenken für lokale Benutzerkonten mit priviligierten Rechten.Ist es dennoch zu empfehlen, den Admin-Benutzer per GPO unter den Eingeschränkten Gruppen zu konfigurieren? Wenn ja, wie genau funktioniert das?Ich möchte ja zuerst den lokalen Benutzer erstellen und ihm dann priviligierte Rechte per eingeschränkter Gruppe zuweisen.Die Group Policy Preferences sind installiert. Danke für alle Antworten. gruß Alex
testperson 1.860 Geschrieben 9. Februar 2016 Melden Geschrieben 9. Februar 2016 Hi, schaust du hier: https://www.mcseboard.de/topic/206091-lokaler-benutzer-via-gpo-hinzuf%C3%BCgen/ Gruß Jan
ChrisRa 42 Geschrieben 9. Februar 2016 Melden Geschrieben 9. Februar 2016 Moin Alex, schau dir in dem Zusammenhang am besten auch direkt mal LAPS an.
Maraun 12 Geschrieben 9. Februar 2016 Autor Melden Geschrieben 9. Februar 2016 Hi, habe ich bereits. Ich will aber, dass sich unser Support ohne Interaktion direkt mit dem altbekannten Benutzer/Kennwort aufschaltenund das System administrieren kann.So funktioniert LAPS aber nicht, oder? Dann werde ich es anders lösen.Erstelle einen Domänenbenutzer für den Support und hinterlege diesen mit administrativen Privilegien per GPO für den Support auf den jeweiligen OUs.Danke erstmal. Andere Frage: Ist es möglich, den bisherigen lokalen Admin User (nicht der integrierte lokale Administrator), der per Softwareverteilung auf allen Rechnern erstellt wurde, per GPO zu ändern? Gruß Alex
ChrisRa 42 Geschrieben 9. Februar 2016 Melden Geschrieben 9. Februar 2016 (bearbeitet) Hi, habe ich bereits. Ich will aber, dass sich unser Support ohne Interaktion direkt mit dem altbekannten Benutzer/Kennwort aufschalten und das System administrieren kann. So funktioniert LAPS aber nicht, oder? Naja, damit hebelst du LAPS eigentlich komplett wieder aus. Sinn ist es ja, dass man an jeder Workstation ein eigenständiges Passwort für den lokalen Admin hat. Du kannst LAPS mit speziellen Delegierungen natürlich so einrichten, dass der Support auch nur die PWs auslesen kann, auf den OUs er auch Zugriff hat. Was möchtest du an dem Benutzer ändern? bearbeitet 9. Februar 2016 von ChrisRa
Sunny61 833 Geschrieben 9. Februar 2016 Melden Geschrieben 9. Februar 2016 Andere Frage: Ist es möglich, den bisherigen lokalen Admin User (nicht der integrierte lokale Administrator), der per Softwareverteilung auf allen Rechnern erstellt wurde, per GPO zu ändern? Wenn das die Änderung des Passwortes beinhaltet, nein, das geht nicht mehr. 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden