Anmeldung lokaler Admin (Domain User) ohne Verbindung zur Domain scheitert

[Scharping-FVB 13]

Liebes Forum,

 

wenn ich ohne Domain, zu Hause, mich an meinem Win10 Notebook als ein lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden Domäne. Mit meinem eigenen, normalen User klappt es.

Der adloc-User war bereits in der Domäne angemeldet, die Credentials sollten also zwischen gespeichert sein, so wie die meines normalen Users.

Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert?

Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur Domäne anmelden kann?

 

Viele Grüße
Davorin

[NorbertFe 2.298]

vor 4 Minuten schrieb Scharping-FVB:

lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden Domäne. Mit meinem eigenen, normalen User klappt es.

Google mal Cached credentials. ;)

vor 4 Minuten schrieb Scharping-FVB:

Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert?

Kann man konfigurieren, wieviel gespeichert werden. Probier’s doch in der Firma aus. Melde dich ab, zieh das lankabel ab oder Wireless aus.

vor 6 Minuten schrieb Scharping-FVB:

Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur Domäne anmelden kann?

Indem man mindestens zwei zwischengespeicherte Anmeldungen erlaubt. Und nur diese zwei Accounts das Notebook nutzen und beide wenigstens einmal online angemeldet werden.

[testperson 1.871]

Hi,

 

vor 8 Minuten schrieb Scharping-FVB:

Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert?

 

 

falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so.

 

Gruß

Jan

[Scharping-FVB 13]

vor 27 Minuten schrieb testperson:

Hi,

 

 

falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so.

 

Gruß

Jan

Dann ist das der Grund, danke für den Hinweis!

[NorbertFe 2.298]

Wer kommt denn auf die Idee 😆 

[Scharping-FVB 13]

vor 7 Minuten schrieb NorbertFe:

Wer kommt denn auf die Idee 😆 

Ist das eine blöde Idee?

Protected Users schützt doch die Credentials.

Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmäßig zu ändern, sollte vor Pash-the-Hash geschützt werden.

Oder gibt es da andere, begründete Empfehlungen?

[NorbertFe 2.298]

Gerade eben schrieb Scharping-FVB:

Ist das eine blöde Idee?

Protected Users schützt doch die Credentials

Hängt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt.

[Dukel 468]

vor 3 Minuten schrieb Scharping-FVB:

Ist das eine blöde Idee?

Protected Users schützt doch die Credentials.

Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmäßig zu ändern, sollte vor Pash-the-Hash geschützt werden.

Oder gibt es da andere, begründete Empfehlungen?

 

Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren.

 

Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen.

[Scharping-FVB 13]

vor 3 Minuten schrieb NorbertFe:

Hängt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt.

Wir haben einiges ausprobiert, aber diese lokale Anmeldung dabei übersehen.

Bisher hatte Protected Users keine negativen Auswirkungen gehabt.

 

[NorbertFe 2.298]

Gerade eben schrieb Scharping-FVB:

Bisher hatte Protected Users keine negativen Auswirkungen gehabt.

Na dann ist doch gut für euch.😆

[Scharping-FVB 13]

vor 3 Minuten schrieb Dukel:

 

Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren.

 

Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen.

LAPS verwenden wir bereits. Ist halt sehr aufwändig, wenn unser Netzwerker im Serverraum mit seinem Laptop sich lokal als Admin anmelden will. Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen.
Aber klar, wer das eine Will, muss das andere Mögen!

[Dukel 468]

Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen?

[testperson 1.871]

vor 7 Minuten schrieb Scharping-FVB:

Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen.

 

LAPS unter Windows Server 2025 / Windows 11 24H2 hat da eine bzw. zwei (drei) coole, neue Funktion(en):

• Kennwörter ohne "leicht zu verwechselnde" Zeichen erstellen (+ besser lesbare Schriftart im ADUC)
• Kennwortsätze bzw. Passphrases sind möglich
• (Verwaltung des lokalen Adminkontos, der dann pro Device ebenfalls einmalig ist)

[Scharping-FVB 13]

Am 20.3.2025 um 10:01 schrieb Dukel:

Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen?

Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich würde er dort, wo er kann, sich ans Netzwerk anschließen.

Wofür er die lokale Anmeldung ohne Domäne braucht, weiß ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur Domäne unterwegs ist zur Router- oder Firewallkonfiguration.

[Scharping-FVB 13]

Am 20.3.2025 um 10:01 schrieb Dukel:

Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen?

Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich würde er dort, wo er kann, sich ans Netzwerk anschließen.

Wofür er die lokale Anmeldung ohne Domäne braucht, weiß ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur Domäne unterwegs ist zur Router- oder Firewallkonfiguration.

Und gerade eben, beim Patchday hat es mich erwischt: Server fährt nach dem Neustart hoch und hat das Netzwerk nicht erkannt. Keine Domäne, keine Anmeldung...

VM also neu starten und Daumen drücken, dass das reicht - hat gereicht. Bei Blechservern große ka**e, da muss dann LAPS her. Mit nicht 2025 und dessen lesbaren Kennwörtern, eine Qual :-(