RC<-->RC 0 Geschrieben 19. November 2019 Melden Geschrieben 19. November 2019 Liebe Gemeinde, Ich hab ein kleines Problem mit dem ich mich mitunter befasse. Als Einstieg zur Sicherheit unserer Domäne galt es anfangs nun endlich mal LAPS einzurichten, um die Lokalen PW nicht gleich zu haben, und Mailware bzw. Emotet weniger Plattform zu bieten. Zum eigentlichen Wir haben in jedem Standort MDT in Betrieb. Die Clients werden gleich in die Domäne gebracht. In der Customer und Boostrap.ini steht der Domain-Admin und das DomainAdminPassword in Klartext drin, was irgendwie ziemlich Affig ist. Hat jemand eine glorreiche Idee für mich, das einfach nicht mehr in Klartext rein schreiben zu müssen, oder eine Idee das zu sichern, da ich schon ein wenig bedenken habe, das diese INI ja nur ausgelesen werden muss um komplette Domänen Rechte sein eigen nennen zu dürfen :-( Viele Grüsse !
4077 30 Geschrieben 19. November 2019 Melden Geschrieben 19. November 2019 Deswegen hat man einen eigenen Benutzer für das MDT und nutzt nicht den Domänen-Admin. Korrekt konfiguriert hat dann ein normaler Benutzer keinen Zugriff auf den Deployment-Share und die Dateien. Und um sich vor irrtümlichen Installationen zu schützen läßt man in der bootstrap.ini das Passwort auch besser weg.
RC<-->RC 0 Geschrieben 19. November 2019 Autor Melden Geschrieben 19. November 2019 Der MDT ist ein eigener Benutzer, der eben Domänen Rechte benötigt um die Clients in die Domäne heben zu können. Kein normaler Domänen Nutzer hat Zugriff auf das Deployment Share ! Was die Irrtümlichen Installationen angeht, so lass ich den Haken bei Administratorgenehmigung gern drin
4077 30 Geschrieben 19. November 2019 Melden Geschrieben 19. November 2019 vor 16 Minuten schrieb RC<-->RC: Der MDT ist ein eigener Benutzer, der eben Domänen Rechte benötigt um die Clients in die Domäne heben zu können. Diesem Benutzer kann man diesbzgl. Rechte über die "Objektverwaltung zuweisen..." (rechte Maustaste des Domänenknotens von AD Benutzer und Computer), dass er Rechner in die Domäne bringen kann. Ich verstehe immer nicht, warum man sich die 5 min Mehrarbeit nicht macht? Deswegen gibt es auch so viele Firmen, wo der Benutzer "Scanner" mit dem Passwort "scanner" Domänen-Adminrechte hat. :-D
testperson 1.859 Geschrieben 19. November 2019 Melden Geschrieben 19. November 2019 vor 36 Minuten schrieb 4077: Diesem Benutzer kann man diesbzgl. Rechte über die "Objektverwaltung zuweisen..." (rechte Maustaste des Domänenknotens von AD Benutzer und Computer), dass er Rechner in die Domäne bringen kann. Ich verstehe immer nicht, warum man sich die 5 min Mehrarbeit nicht macht? Weil man sich an dieser Stelle ein wenig mehr Arbeit wie 5 Minuten machen sollte. Ebenso sollte man davon absehen einem User Rechte zuzuweisen und dafür Gruppen nutzen. ;)
4077 30 Geschrieben 19. November 2019 Melden Geschrieben 19. November 2019 vor 11 Minuten schrieb testperson: und dafür Gruppen nutzen. ;) Touché. Trotzdem sollte man es machen.
daabm 1.431 Geschrieben 19. November 2019 Melden Geschrieben 19. November 2019 Man könnte auch den Offline-Join nehmen... https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/ff793312(v%3Dws.11) Dann brauchts auf dem Client gar nix mehr außer nem File, um in die Domäne zu kommen. Und das sollte ja zu schaffen sein
RC<-->RC 0 Geschrieben 25. November 2019 Autor Melden Geschrieben 25. November 2019 Vielen dank für die Antworten. Ich habs dann doch einfach über die Objektverwaltung gemacht
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden