Jump to content

lokalen Admin auf den Clients zu löschen, sinnvoll?

porki

Von porki
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

porki Proficient

porki   11

Geschrieben
Geschrieben (bearbeitet)

Hallo,

macht es Sinn in einer Active Directory Umgebung den lokalen Admin auf den Clients zu löschen oder zu deaktivieren?

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

Haltet Ihr das für sinnvoll, falls nicht warum nicht?

bearbeitet von porki
verschrieben
Threeman Explorer

Threeman   12

Geschrieben
Geschrieben

Hi Porki, 

du solltest immer einen lokalen User auf dem System haben, quasi für den Notfall (z.b. Verlust der Vertrauensstellung), dann muss das System nicht direkt neu installiert werden.

Um dem Sicherheitsanliegen deines Kollegen entgegen zu kommen, kannst du den Standard User "Administrator" umbenennen und deaktivieren.

Als neuen lokalen Admin solltet ihr euch eine Namenskonvention überlege und standardisieren z.B. "lokadmin", "lokaler_admin", "notadmin", oder ähnliches.

Wichtig ist auch hier der regelmäßige Passwortwechsel, z.b. durch Microsoft LAPS 

NorbertFe Grand Master

NorbertFe   2.279

Geschrieben
Geschrieben
vor 1 Stunde schrieb porki:

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

 

_Den_ lokalen Admin kann man sowieso nicht wirklich löschen. (Ja ich weiß). Wie wärs denn mit deaktivieren, oder wie stellt der Kollege es sich vor, als Admin ranzukommen, wenn man keine Domäne mehr hat?

NilsK Grand Master

NilsK   3.046

Geschrieben
Geschrieben

Moin,

 

Den User kann man nicht löschen. Das Umbenennen kann man machen, ist aber wirkungslos. Der sinnvollste Weg ist, dem Account ein sehr starkes Kennwort (eins pro Rechner)  zu geben und ihn danach eben nicht zu verwenden.

 

Gruß Nils

porki Proficient

porki   11

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Danke für eure Antworten.

vor 6 Minuten schrieb NorbertFe:

_Den_ lokalen Admin kann man sowieso nicht wirklich löschen. (Ja ich weiß). Wie wärs denn mit deaktivieren, oder wie stellt der Kollege es sich vor, als Admin ranzukommen, wenn man keine Domäne mehr hat?

Der stellt sich das so vor, mit einem Windows Start USB das System zu starten und dann den lokalen Admin darüber hinzuzufügen, bzw. zu aktivieren. Ob so was geht, weiß ich nicht. Wenn löschen nicht geht, dann muss er den deaktiviert haben, ich schaue mir das morgen mal genauer an.

bearbeitet von porki
MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben (bearbeitet)
vor 1 Stunde schrieb porki:

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

vor 7 Minuten schrieb porki:

Das habe ich ihn auch gefragt, er meint aus Sicherheitsgründen.

Um die Sicherheit der Clients zu erhöhen gibt es viele Möglichkeiten in Windows. Manchmal auch Lizenzabhängig. Vor was wollt Ihr euch denn schützen?

 

PS: Ich würde den Ansatz genau umdrehen, um Sicherheit zu erreichen.

bearbeitet von MurdocX
porki Proficient

porki   11

Geschrieben
  • Autor
Geschrieben
vor 1 Minute schrieb MurdocX:

Um die Sicherheit der Clients zu erhöhen gibt es viele Möglichkeiten in Windows. Manchmal auch Lizenzabhängig. Vor was wollt Ihr euch denn schützen?

Er meint, wenn ein Mitarbeiter mal über seine Schulter schaut und er nicht aufmerksam ist, dann hätte er das lokale Passwort für jeden PC.

MurdocX Veteran

MurdocX   1.004

Geschrieben
Geschrieben
vor 8 Minuten schrieb porki:

Er meint, wenn ein Mitarbeiter mal über seine Schulter schaut und er nicht aufmerksam ist, dann hätte er das lokale Passwort für jeden PC.

1. Sicherheitsmaßnahme -> Keine identischen lokalen Passwörter!

Passendes Produkt -> LAPS 

 

Msxfaq | LAPS - Local Admin Password Solution

https://www.msxfaq.de/windows/endpointsecurity/laps.htm

 

it-pirate | Microsoft Local Administrator Password Solution

https://de.it-pirate.eu/microsoft-local-administrator-password-solution-laps/

 

Alles hat Vor- und Nachteile. Die sollte man vorher lesen und verstehen. Das Produkt ist kostenlos.

Dukel Grand Master

Dukel   468

Geschrieben
Geschrieben
2 hours ago, porki said:

Danke für eure Antworten.

Der stellt sich das so vor, mit einem Windows Start USB das System zu starten und dann den lokalen Admin darüber hinzuzufügen, bzw. zu aktivieren. Ob so was geht, weiß ich nicht. Wenn löschen nicht geht, dann muss er den deaktiviert haben, ich schaue mir das morgen mal genauer an.

Wenn man physischen Zugang zu einem Rechner hat hat man meist Möglichkeiten das System zu knacken. Hier hilft dann normalerweise nur die Verschlüsslung des Systems.

 

Man muss sich überlegen, gegen was man sich schützen möchte und leitet daraus Maßnahmen ab. Möglichkeiten und Angriffsvektoren gibt es viele.

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...