Kuddel071089 9 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Hallo zusammen, ich würde in einem unserer Server-Skripts gerne hinzufügen, dass bei neuen AD-Server der lokale Administrator umbenannt wird (aus Sicheritsgründen). Per GPO habe ich es schon versucht, da wurde aber auch bei schon bestehenden AD-Servern der lokale Admin unbenannt, was zu Probleme geführt hat. Kann man das ganze irgendwie per Powershell realisieren? Vielen Dank schon einmal Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 GPO Scope o. Filter setzen ? Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 GPO Scope o. Filter setzen ? Was genau meinst du ? Die GPO darf nur auf die neuen Server wirken ? Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 Per GPO habe ich es schon versucht, da wurde aber auch bei schon bestehenden AD-Servern der lokale Admin unbenannt, was zu Probleme geführt hat. Was für Probleme denn? Dann würde ich diese erst lösen und das ganze per GPO umsetzen. Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 Was für Probleme denn? Dann würde ich diese erst lösen und das ganze per GPO umsetzen. Die GPO wirkte auf die ganze OU. Eigentlich könnte ich das ja über eine Ad-Gruppe mache, in der die neue Server per Skript hinzugefügt werden Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 12. Mai 2016 Melden Teilen Geschrieben 12. Mai 2016 (bearbeitet) Über Ps sollte das kein Problem sein -Erstellungsdatum des Computers Objekts lässt sich auslesen, diese dann nach Vorgabe in die gewünschte Gruppe hinzufügen. Womöglich geht auch ein passender Wmi Filter direkt auf die Gpo, soweit man das Attribut auslesen kann. bearbeitet 12. Mai 2016 von PowerShellAdmin Zitieren Link zu diesem Kommentar
Kuddel071089 9 Geschrieben 12. Mai 2016 Autor Melden Teilen Geschrieben 12. Mai 2016 habe es jetzt über eine Gruppe geregelt, in die die neuen Server automatisch hizugefügt werden. per gpo wird dann bei den mitgliedern der gruppe der administrator umbenannt. falls doch jmd eine reine Powershell lösung hat, wäre ich noch interessiert Zitieren Link zu diesem Kommentar
PowerShellAdmin 169 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 Selber bauen - ist doch fix erledigt :-) Zitieren Link zu diesem Kommentar
daabm 1.197 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 ich würde in einem unserer Server-Skripts gerne hinzufügen, dass bei neuen AD-Server der lokale Administrator umbenannt wird (aus Sicheritsgründen). Aus Sicherheitsgründen - nein, das ist keine Sicherheit. Den Builtin Admin findet man leicht über seine SID, die auf -500 endet. Besser: Builtin Admin deaktivieren (der wird nämlich nicht gesperrt bei Kennwortfalscheingabe und ist damit ein ideales Ziel für Brute Force Attacken...), neuen Account anlegen und zum lokalen Admin machen. Zufälliges Kennwort über LAPS verwalten - https://technet.microsoft.com/library/3062591 Zitieren Link zu diesem Kommentar
testperson 1.547 Geschrieben 13. Mai 2016 Melden Teilen Geschrieben 13. Mai 2016 Hi, wenn der lokale (Built-In) Admin aus "Sicherheitsgründen" umbenannt wird, wäre es auch an der Zeit sich über die Passwörter gedanken zu machen ;) -> LAPS. Wobei es vermutlich am sinnvollsten wäre, den Build-In Admin zu deaktivieren und einen neuen lokalen User als Admin zu erstellen und diesen per LAPS zu managen. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.