Jump to content
Samoth

Lokaler Admin nach Domänenbeitritt kein Mitglied der lokalen Gruppe "Administratoren"

Recommended Posts

Hallo zusammen,

 

mir ist heute etwas Neues untergekommen: An einem Win10 1909 haben wir einen User "LocalAdmin" angelegt und den in die lokale Gruppe "Administratoren" gepackt. In der angemeldeten Session dieses Users sind wir der Domäne beigetreten. Im Anschluss war dieser User keiner Gruppe mehr zugeordnet. Das ist mir neu. Soll das so sein? Hintergrund? Was würde passieren, wenn ich in der Session des Builtin-Administrator der Domäne beigetreten wäre? Hätte der dann auch seine Gruppenzugehörigkeit verloren?


Viele Grüße + Danke für die Aufklärung :-)

Samoth

Share this post


Link to post
Share on other sites

Hi,

 

ich würde vermuten, dass es eine entsprechende Policy oder ein Script gibt, welches die lokale Gruppe der Administratoren entsprechend konfiguriert (und "sauber" hält). Das macht halt schon Sinn.

 

Generell darf jeder User fünf (oder zehn?) Computer zur Domäne hinzufügen. Wenn dieser User jetzt z.B. ein Gerät mitbringt, wo er lokaler Admin ist und nach dem Domain-Join auch noch lokaler Admin ist, kann er bspw. seinem Account über den lokalen Admin entsprechend in die lokalen Administratoren aufnehmen.

 

Als neues 1909 "Feature" wäre mir das jedenfalls noch nicht bekannt.

 

Gruß

Jan

  • Thanks 1

Share this post


Link to post
Share on other sites

Für mich ein spannendes Thema! Ich sage vorweg schon mal, dass Windows-Administration nicht unser berufliches Hauptgebiet ist ;-)

vor 8 Minuten schrieb testperson:

Generell darf jeder User fünf (oder zehn?) Computer zur Domäne hinzufügen.

Diesen Umstand habe ich neulich auch mit einem Kollegen entdeckt. Ich verstehe das so, dass ich irgendein Notebook mit ins Geschäft bringe, es ans Netz anschließe, der Domäne beitrete und mich dann zum Beitreten mit meinem eigenen Domänen-User authentifiziere. Ist das nicht etwas riskant? Bisher dachte ich, dass nur ein Admin diese Authentifizierung durchführen darf bzw. können sollte?

 

vor 18 Minuten schrieb testperson:

wo er lokaler Admin ist und nach dem Domain-Join auch noch lokaler Admin ist, kann er bspw. seinem Account über den lokalen Admin entsprechend in die lokalen Administratoren aufnehmen.

Nach dem Join würden ihm sozusagen seine Rechte als lokaler Admin entzogen, OK. Aber was wäre damit gewonnen, selbst wenn er das könnte? Vorher war er ja auch schon lokaler Admin.

vor 18 Minuten schrieb NorbertFe:

Das geht nicht.

Habe vorhin auch mal nachgelesen und Builtin-Admin ist nicht gleich User in der Gruppe der lokalen Admin.

Share this post


Link to post
Share on other sites
vor 2 Minuten schrieb Samoth:

Aber was wäre damit gewonnen, selbst wenn er das könnte? Vorher war er ja auch schon lokaler Admin.

Dass er es hinterher nicht mehr ist. Wenn er also nicht von vornherein bereit war, das System zu kompromitieren, hat er jetzt weniger Chancen. Abgesehen davon gibts genau dafür ja entsprechende Deploymentrichtlinien und Berechtigungen, dass eben nicht jeder "Honk" einen PC in die Domäne aufnehmen darf. Muss man halt vorher konfigurieren.

  • Thanks 1

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...