Scharping-FVB 13 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz Liebes Forum,  wenn ich ohne Domain, zu Hause, mich an meinem Win10 Notebook als ein lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden DomĂ€ne. Mit meinem eigenen, normalen User klappt es. Der adloc-User war bereits in der DomĂ€ne angemeldet, die Credentials sollten also zwischen gespeichert sein, so wie die meines normalen Users. Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur DomĂ€ne anmelden kann?  Viele GrĂŒĂe Davorin Zitieren
NorbertFe 2.211 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz vor 4 Minuten schrieb Scharping-FVB: lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden DomĂ€ne. Mit meinem eigenen, normalen User klappt es. Google mal Cached credentials. ;) vor 4 Minuten schrieb Scharping-FVB: Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Kann man konfigurieren, wieviel gespeichert werden. Probierâs doch in der Firma aus. Melde dich ab, zieh das lankabel ab oder Wireless aus. vor 6 Minuten schrieb Scharping-FVB: Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur DomĂ€ne anmelden kann? Indem man mindestens zwei zwischengespeicherte Anmeldungen erlaubt. Und nur diese zwei Accounts das Notebook nutzen und beide wenigstens einmal online angemeldet werden. Zitieren
Beste Lösung testperson 1.798 Geschrieben 20. MÀrz Beste Lösung Melden Geschrieben 20. MÀrz Hi,  vor 8 Minuten schrieb Scharping-FVB: Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert?   falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so.  Gruà Jan 1 Zitieren
Scharping-FVB 13 Geschrieben 20. MĂ€rz Autor Melden Geschrieben 20. MĂ€rz vor 27 Minuten schrieb testperson: Hi, Â Â falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so. Â GruĂ Jan Dann ist das der Grund, danke fĂŒr den Hinweis! Zitieren
NorbertFe 2.211 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz Wer kommt denn auf die Idee đ Zitieren
Scharping-FVB 13 Geschrieben 20. MĂ€rz Autor Melden Geschrieben 20. MĂ€rz vor 7 Minuten schrieb NorbertFe: Wer kommt denn auf die Idee đ Ist das eine blöde Idee? Protected Users schĂŒtzt doch die Credentials. Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmĂ€Ăig zu Ă€ndern, sollte vor Pash-the-Hash geschĂŒtzt werden. Oder gibt es da andere, begrĂŒndete Empfehlungen? Zitieren
NorbertFe 2.211 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz Gerade eben schrieb Scharping-FVB: Ist das eine blöde Idee? Protected Users schĂŒtzt doch die Credentials HĂ€ngt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt. Zitieren
Dukel 465 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz vor 3 Minuten schrieb Scharping-FVB: Ist das eine blöde Idee? Protected Users schĂŒtzt doch die Credentials. Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmĂ€Ăig zu Ă€ndern, sollte vor Pash-the-Hash geschĂŒtzt werden. Oder gibt es da andere, begrĂŒndete Empfehlungen?  Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren.  Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen. Zitieren
Scharping-FVB 13 Geschrieben 20. MĂ€rz Autor Melden Geschrieben 20. MĂ€rz vor 3 Minuten schrieb NorbertFe: HĂ€ngt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt. Wir haben einiges ausprobiert, aber diese lokale Anmeldung dabei ĂŒbersehen. Bisher hatte Protected Users keine negativen Auswirkungen gehabt. Â Zitieren
NorbertFe 2.211 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz Gerade eben schrieb Scharping-FVB: Bisher hatte Protected Users keine negativen Auswirkungen gehabt. Na dann ist doch gut fĂŒr euch.đ Zitieren
Scharping-FVB 13 Geschrieben 20. MÀrz Autor Melden Geschrieben 20. MÀrz vor 3 Minuten schrieb Dukel:  Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren.  Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen. LAPS verwenden wir bereits. Ist halt sehr aufwÀndig, wenn unser Netzwerker im Serverraum mit seinem Laptop sich lokal als Admin anmelden will. Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen. Aber klar, wer das eine Will, muss das andere Mögen! Zitieren
Dukel 465 Geschrieben 20. MĂ€rz Melden Geschrieben 20. MĂ€rz Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Zitieren
testperson 1.798 Geschrieben 20. MÀrz Melden Geschrieben 20. MÀrz vor 7 Minuten schrieb Scharping-FVB: Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen.  LAPS unter Windows Server 2025 / Windows 11 24H2 hat da eine bzw. zwei (drei) coole, neue Funktion(en): Kennwörter ohne "leicht zu verwechselnde" Zeichen erstellen (+ besser lesbare Schriftart im ADUC) KennwortsÀtze bzw. Passphrases sind möglich (Verwaltung des lokalen Adminkontos, der dann pro Device ebenfalls einmalig ist) Zitieren
Scharping-FVB 13 Geschrieben 21. MĂ€rz Autor Melden Geschrieben 21. MĂ€rz Am 20.3.2025 um 10:01 schrieb Dukel: Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich wĂŒrde er dort, wo er kann, sich ans Netzwerk anschlieĂen. WofĂŒr er die lokale Anmeldung ohne DomĂ€ne braucht, weiĂ ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur DomĂ€ne unterwegs ist zur Router- oder Firewallkonfiguration. Zitieren
Scharping-FVB 13 Geschrieben 22. MĂ€rz Autor Melden Geschrieben 22. MĂ€rz Am 20.3.2025 um 10:01 schrieb Dukel: Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich wĂŒrde er dort, wo er kann, sich ans Netzwerk anschlieĂen. WofĂŒr er die lokale Anmeldung ohne DomĂ€ne braucht, weiĂ ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur DomĂ€ne unterwegs ist zur Router- oder Firewallkonfiguration. Und gerade eben, beim Patchday hat es mich erwischt: Server fĂ€hrt nach dem Neustart hoch und hat das Netzwerk nicht erkannt. Keine DomĂ€ne, keine Anmeldung... VM also neu starten und Daumen drĂŒcken, dass das reicht - hat gereicht. Bei Blechservern groĂe ka**e, da muss dann LAPS her. Mit nicht 2025 und dessen lesbaren Kennwörtern, eine Qual :-( Zitieren
Empfohlene BeitrÀge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich spÀter registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.