Jump to content
xrated2

Lokale Gruppen über Policy

Recommended Posts

Hallo

 

es gibt ja die Möglichkeit über GPP die lokalen Gruppen zu steuern.

Nun werden da aber leider nicht alle Member hinzugefügt und ich weiß nicht warum.

 

Die Einstellung:

 

Gruppenname Administratoren (integriert) 
Beschreibung modified by nonadmin gpp 
Alle Mitgliederbenutzer löschen Aktiviert 
Alle Mitgliedergruppen löschen Deaktiviert 
Mitglieder hinzufügen

BUILTIN\Administrator  
DOMAIN\IT-Helpdesk 
DOMAIN\helpdesk 

DOMAIN\Domänen-Admins

Bei Fehler keine Elemente mehr für diese Erweiterung verarbeiten Nein 
Element entfernen, wenn es nicht mehr angewendet wird Nein 
Nur einmalig anwenden Nein 
 

Die fett markierten (User+Gruppe) funktionieren aber nicht. Ich sehe mit rsop auch keine Fehler und der Text in der Beschreibung taucht auch in der Gruppe auf.
 

Weiß jemand wieso?

Share this post


Link to post
Share on other sites

Hatte ich auch schon mal verwendet aber da ich noch andere Policy dieser Art benutze wo ich dem User lokale Adminrechte je nach PC Name erteile, wäre es nicht schlecht wenn man bei einer Methode bleibt denke ich.

vor 16 Minuten schrieb NorbertFe:

Und wenn das PCs sein sollten entferne die Domänenadmins.

 

gefährlich?

Share this post


Link to post
Share on other sites

Falsch konfiguriert könntest du natürlich in die Wäsche schauen ;-) Das brauchen wir sicher nicht erklären.

Share this post


Link to post
Share on other sites

Da steht unter GPP lokale Gruppen: "Wenn hier 5 Mitglieder hinzugefügt werden und eines der Mitglieder existiert nicht (oder das Hinzufügen scheitert aus anderen Gründen), dann werden alle weiteren Mitglieder nicht mehr hinzugefügt."

 

Also das könnte ein Grund sein. Kann das ein Problem sein wenn Gruppen und User über verschiedene OU verteilt sind oder das Objekt nicht gefunden wird? Die administrativen User habe ich nämlich im default Users Container aber die Gruppen in einer OU.

 

Was bringt es am PC eine zusätzliche lokale Gruppe anzulegen im Gegensatz zum nutzen der vorhandenen lokalen Administratoren Gruppe?

Share this post


Link to post
Share on other sites

Ich versuch mal Deine Fragen zu interpretieren - ganz verstehen tu ich es nicht :-)

 

In GPP kannst Du in einem einzigen Element mehrere Mitglieder einer Gruppe hinzufügen. Du kannst aber auch mehrere Elemente verwenden und jeweils ein Mitglied hinzufügen.

Wenn Du ersteres machst und es geht bei einem Mitglied etwas schief, werden alle weiteren nicht mehr bearbeitet. Machst Du zweiteres, werden die weiteren Elemente trotzdem ausgeführt.

 

NICHT die Builtin Admins zu verwenden, hat den Vorteil, daß man sich Spezereien mit UAC erspart. Und es geht mir auch nicht nur um die lokalen Admins, sondern auch um interaktive Anmeldung (und RDP) sowie Service-Logon.

Share this post


Link to post
Share on other sites

Ja soweit war ich auch aber warum die nicht funktioniert das ist die Frage. Muss ich wohl noch etwas rumtesten um drauf zu kommen.

 

btw. hier Seite 49

https://www.troopers.de/downloads/troopers17/TR17_AD_signed.pdf

Da steht bei local accounts extra mit Ausrufezeichen do not use GPPs. Aber wieso?

 

Edit: Vermutlich wenn man Passwörter in AD eintippt soviel wie ich gefunden habe, siehe auch LAPS

Edited by xrated2

Share this post


Link to post
Share on other sites

Lokale User sind was anderes als lokale Gruppen, ja. Das Kennwort steht im Fast-Klartext in einem XML, das PowerSploit direkt ausliest und präsentiert...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...