Kuddel071089 9 Geschrieben 12. Mai 2016 Melden Geschrieben 12. Mai 2016 Hallo zusammen, ich würde in einem unserer Server-Skripts gerne hinzufügen, dass bei neuen AD-Server der lokale Administrator umbenannt wird (aus Sicheritsgründen). Per GPO habe ich es schon versucht, da wurde aber auch bei schon bestehenden AD-Servern der lokale Admin unbenannt, was zu Probleme geführt hat. Kann man das ganze irgendwie per Powershell realisieren? Vielen Dank schon einmal
PowerShellAdmin 169 Geschrieben 12. Mai 2016 Melden Geschrieben 12. Mai 2016 GPO Scope o. Filter setzen ?
Kuddel071089 9 Geschrieben 12. Mai 2016 Autor Melden Geschrieben 12. Mai 2016 GPO Scope o. Filter setzen ? Was genau meinst du ? Die GPO darf nur auf die neuen Server wirken ?
Dukel 468 Geschrieben 12. Mai 2016 Melden Geschrieben 12. Mai 2016 Per GPO habe ich es schon versucht, da wurde aber auch bei schon bestehenden AD-Servern der lokale Admin unbenannt, was zu Probleme geführt hat. Was für Probleme denn? Dann würde ich diese erst lösen und das ganze per GPO umsetzen.
Kuddel071089 9 Geschrieben 12. Mai 2016 Autor Melden Geschrieben 12. Mai 2016 Was für Probleme denn? Dann würde ich diese erst lösen und das ganze per GPO umsetzen. Die GPO wirkte auf die ganze OU. Eigentlich könnte ich das ja über eine Ad-Gruppe mache, in der die neue Server per Skript hinzugefügt werden
PowerShellAdmin 169 Geschrieben 12. Mai 2016 Melden Geschrieben 12. Mai 2016 (bearbeitet) Über Ps sollte das kein Problem sein -Erstellungsdatum des Computers Objekts lässt sich auslesen, diese dann nach Vorgabe in die gewünschte Gruppe hinzufügen. Womöglich geht auch ein passender Wmi Filter direkt auf die Gpo, soweit man das Attribut auslesen kann. bearbeitet 12. Mai 2016 von PowerShellAdmin
Kuddel071089 9 Geschrieben 12. Mai 2016 Autor Melden Geschrieben 12. Mai 2016 habe es jetzt über eine Gruppe geregelt, in die die neuen Server automatisch hizugefügt werden. per gpo wird dann bei den mitgliedern der gruppe der administrator umbenannt. falls doch jmd eine reine Powershell lösung hat, wäre ich noch interessiert
PowerShellAdmin 169 Geschrieben 13. Mai 2016 Melden Geschrieben 13. Mai 2016 Selber bauen - ist doch fix erledigt :-)
daabm 1.431 Geschrieben 13. Mai 2016 Melden Geschrieben 13. Mai 2016 ich würde in einem unserer Server-Skripts gerne hinzufügen, dass bei neuen AD-Server der lokale Administrator umbenannt wird (aus Sicheritsgründen). Aus Sicherheitsgründen - nein, das ist keine Sicherheit. Den Builtin Admin findet man leicht über seine SID, die auf -500 endet. Besser: Builtin Admin deaktivieren (der wird nämlich nicht gesperrt bei Kennwortfalscheingabe und ist damit ein ideales Ziel für Brute Force Attacken...), neuen Account anlegen und zum lokalen Admin machen. Zufälliges Kennwort über LAPS verwalten - https://technet.microsoft.com/library/3062591
testperson 1.860 Geschrieben 13. Mai 2016 Melden Geschrieben 13. Mai 2016 Hi, wenn der lokale (Built-In) Admin aus "Sicherheitsgründen" umbenannt wird, wäre es auch an der Zeit sich über die Passwörter gedanken zu machen ;) -> LAPS. Wobei es vermutlich am sinnvollsten wäre, den Build-In Admin zu deaktivieren und einen neuen lokalen User als Admin zu erstellen und diesen per LAPS zu managen. Gruß Jan
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden