Scharping-FVB 13 Geschrieben 20. März Melden Geschrieben 20. März Liebes Forum, wenn ich ohne Domain, zu Hause, mich an meinem Win10 Notebook als ein lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden Domäne. Mit meinem eigenen, normalen User klappt es. Der adloc-User war bereits in der Domäne angemeldet, die Credentials sollten also zwischen gespeichert sein, so wie die meines normalen Users. Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur Domäne anmelden kann? Viele Grüße Davorin Zitieren
NorbertFe 2.249 Geschrieben 20. März Melden Geschrieben 20. März Am 20.3.2025 um 07:47 schrieb Scharping-FVB: lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden Domäne. Mit meinem eigenen, normalen User klappt es. Mehr Google mal Cached credentials. ;) Am 20.3.2025 um 07:47 schrieb Scharping-FVB: Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Mehr Kann man konfigurieren, wieviel gespeichert werden. Probier’s doch in der Firma aus. Melde dich ab, zieh das lankabel ab oder Wireless aus. Am 20.3.2025 um 07:47 schrieb Scharping-FVB: Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur Domäne anmelden kann? Mehr Indem man mindestens zwei zwischengespeicherte Anmeldungen erlaubt. Und nur diese zwei Accounts das Notebook nutzen und beide wenigstens einmal online angemeldet werden. Zitieren
Beste Lösung testperson 1.811 Geschrieben 20. März Beste Lösung Melden Geschrieben 20. März Hi, Am 20.3.2025 um 07:47 schrieb Scharping-FVB: Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Mehr falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so. Gruß Jan 1 Zitieren
Scharping-FVB 13 Geschrieben 20. März Autor Melden Geschrieben 20. März Am 20.3.2025 um 07:56 schrieb testperson: Hi, falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so. Gruß Jan Mehr Dann ist das der Grund, danke für den Hinweis! Zitieren
NorbertFe 2.249 Geschrieben 20. März Melden Geschrieben 20. März Wer kommt denn auf die Idee 😆 Zitieren
Scharping-FVB 13 Geschrieben 20. März Autor Melden Geschrieben 20. März Am 20.3.2025 um 08:37 schrieb NorbertFe: Wer kommt denn auf die Idee 😆 Mehr Ist das eine blöde Idee? Protected Users schützt doch die Credentials. Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmäßig zu ändern, sollte vor Pash-the-Hash geschützt werden. Oder gibt es da andere, begründete Empfehlungen? Zitieren
NorbertFe 2.249 Geschrieben 20. März Melden Geschrieben 20. März Am 20.3.2025 um 08:46 schrieb Scharping-FVB: Ist das eine blöde Idee? Protected Users schützt doch die Credentials Mehr Hängt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt. Zitieren
Dukel 466 Geschrieben 20. März Melden Geschrieben 20. März Am 20.3.2025 um 08:46 schrieb Scharping-FVB: Ist das eine blöde Idee? Protected Users schützt doch die Credentials. Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmäßig zu ändern, sollte vor Pash-the-Hash geschützt werden. Oder gibt es da andere, begründete Empfehlungen? Mehr Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren. Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen. Zitieren
Scharping-FVB 13 Geschrieben 20. März Autor Melden Geschrieben 20. März Am 20.3.2025 um 08:48 schrieb NorbertFe: Hängt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt. Mehr Wir haben einiges ausprobiert, aber diese lokale Anmeldung dabei übersehen. Bisher hatte Protected Users keine negativen Auswirkungen gehabt. Zitieren
NorbertFe 2.249 Geschrieben 20. März Melden Geschrieben 20. März Am 20.3.2025 um 08:53 schrieb Scharping-FVB: Bisher hatte Protected Users keine negativen Auswirkungen gehabt. Mehr Na dann ist doch gut für euch.😆 Zitieren
Scharping-FVB 13 Geschrieben 20. März Autor Melden Geschrieben 20. März Am 20.3.2025 um 08:51 schrieb Dukel: Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren. Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen. Mehr LAPS verwenden wir bereits. Ist halt sehr aufwändig, wenn unser Netzwerker im Serverraum mit seinem Laptop sich lokal als Admin anmelden will. Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen. Aber klar, wer das eine Will, muss das andere Mögen! Zitieren
Dukel 466 Geschrieben 20. März Melden Geschrieben 20. März Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Zitieren
testperson 1.811 Geschrieben 20. März Melden Geschrieben 20. März Am 20.3.2025 um 08:56 schrieb Scharping-FVB: Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen. Mehr LAPS unter Windows Server 2025 / Windows 11 24H2 hat da eine bzw. zwei (drei) coole, neue Funktion(en): Kennwörter ohne "leicht zu verwechselnde" Zeichen erstellen (+ besser lesbare Schriftart im ADUC) Kennwortsätze bzw. Passphrases sind möglich (Verwaltung des lokalen Adminkontos, der dann pro Device ebenfalls einmalig ist) Zitieren
Scharping-FVB 13 Geschrieben 21. März Autor Melden Geschrieben 21. März Am 20.3.2025 um 09:01 schrieb Dukel: Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Mehr Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich würde er dort, wo er kann, sich ans Netzwerk anschließen. Wofür er die lokale Anmeldung ohne Domäne braucht, weiß ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur Domäne unterwegs ist zur Router- oder Firewallkonfiguration. Zitieren
Scharping-FVB 13 Geschrieben 22. März Autor Melden Geschrieben 22. März Am 20.3.2025 um 09:01 schrieb Dukel: Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Mehr Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich würde er dort, wo er kann, sich ans Netzwerk anschließen. Wofür er die lokale Anmeldung ohne Domäne braucht, weiß ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur Domäne unterwegs ist zur Router- oder Firewallkonfiguration. Und gerade eben, beim Patchday hat es mich erwischt: Server fährt nach dem Neustart hoch und hat das Netzwerk nicht erkannt. Keine Domäne, keine Anmeldung... VM also neu starten und Daumen drücken, dass das reicht - hat gereicht. Bei Blechservern große ka**e, da muss dann LAPS her. Mit nicht 2025 und dessen lesbaren Kennwörtern, eine Qual :-( Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.