Jump to content

Leidiges Thema lokale Adminrechte


Recommended Posts

Moin zusammen,

 

leider benötigen einige unserer Reisenden Mitarbeiter hin und wieder lokale Adminrechte, damit sie vor Ort beim Kunden Software installieren können. An und für sich ja kein Problem. Ich habe eine Policy erstellt, mit der eine vordefinierte Gruppe lokale Adminrechte erhält. Ich muss also den User dann nur in diese Gruppe stecken. Was aber mache ich, wenn der User nicht vor Ort im LAN ist und somit die neue Gruppenmitgliedschaft gar nicht auf seinen PC übertragen wird? VPN wird ja erst nach dem Login Aktiv und mein Kenntnisstand besagt, dass Gruppenmitgliedschaften beim Login und gleichzeitiger Verbindung zum DC übertragen werden. Ist dies so noch zutreffend bzw. Kann man Gruppenmitgliedschaften auch nach dem Login noch zuweisen?

 

ciao, todde_hb

Link to post

Moin,

 

der Weg führt doch sowieso in die Irre. Wenn der User Adminrechte hat, kann er tun, was er will. Dann hat er leichtes Spiel, sich an deinen Prozessen vorbei dauerhaft zum Admin zu machen.

 

Gruß, Nils

 

Link to post
vor 4 Minuten schrieb NilsK:

Moin,

 

der Weg führt doch sowieso in die Irre. Wenn der User Adminrechte hat, kann er tun, was er will. Dann hat er leichtes Spiel, sich an deinen Prozessen vorbei dauerhaft zum Admin zu machen.

 

Gruß, Nils

 

 

Ja, aber das ist ein anderes Thema. 

Link to post

Moin,

 

dann wüsste ich nicht, was das Thema sein soll.

 

Zu deiner Frage: Nein, eine Gruppenmitgliedschaft lässt sich nach dem Login nicht mehr ändern.

 

Zitat

LAPs wäre eine Option, aber die wird weder dir noch den Usern gefallen. 

Und sie ist für dieses Szenario ja auch nicht gedacht.

 

Gruß, Nils

 

Edited by NilsK
Link to post
vor 43 Minuten schrieb NilsK:

Und sie ist für dieses Szenario ja auch nicht gedacht.

 

Ich hab noch überlegt, ob ich den Satz um " , und hier im Forum wird sie auch keinen Anklang finden" ergänze. ;)

  • Haha 2
Link to post
vor 11 Stunden schrieb todde_hb:
 

VPN wird ja erst nach dem Login Aktiv und mein Kenntnisstand besagt, dass Gruppenmitgliedschaften beim Login und gleichzeitiger Verbindung zum DC übertragen werden. Ist dies so noch zutreffend bzw. Kann man Gruppenmitgliedschaften auch nach dem Login noch zuweisen?

"Connect before logon" kennst Du? Im übrigen stimme ich den Vorrednern zu.

Link to post
vor 4 Minuten schrieb Bubblegum:

Es gibt noch die Applikation "Make me Admin", womit du für einen befristeten Zeitraum Adminrechte bekommst.

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat ;-)

Link to post
vor 21 Minuten schrieb cj_berlin:

Die Applikation löscht aber nicht das andere lokale Admin-Account, welches der "gemakete Admin" innerhalb des "befristeten Zeitraum" angelegt hat ;-)

Vielleicht wäre die Überlegung Adminkonten komplett zu untersagen und durch die Applikation den User für einen befristeten Zeitraum in die lokale Admingruppe zu heben.

Link to post

Das hilft alles nichts. Admin ist Admin. Sobald jemand, der nicht als Admin verpflichtet wurde, die Rechte eines Admins bekommt, ist vorbei.

Manche sicherheitsbewusste Organisationen machen Rechner, auf denen sich ein lokaler Admin unterwegs anmelden musste, um etwas zu fixen, wieder platt und betanken sie neu, bevor sie wieder ins LAN dürfen.

  • Like 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...