Einrichtung lokaler Admins auf Remote-PC via CMD

[chakoe 10]

Hi,

 

ich möchte gerne auf einer Liste von PC´s aus der Ferne User hinzufügen.

Dieses möchte ich über die Commandline machen. Die User sollen auf den Zielsystemen lokale Admins sein.

 

Wie kann ich dies erreichen?

 

Danke vorab!

 

Chakoe

[Dukel 457]

GPO, Powershell v2, psexec, Deployment,...

[NilsK 2.971]

Moin,

 

sind die PCs in derselben Domäne? Dann ginge das über GPP am besten.

 

GPP - Group Policy Preferences - Gruppenrichtlinien Einstellungen

 

Wozu werden die User benötigt?

 

Gruß, Nils

[chakoe 10]

Die User dienen als lokale ServiceAdmins für Remote-Standorte.

 

Die user sollen auf den ZielSystemen lokale Admins sein, das Kennwort muss gesetzt werden ( das PW liegt mir vor), das Kennwort soll nicht ablaufen, das Kennwort darf nicht geändert werden und der User muss auch mitglied der lokalen Admins des jeweiligen Systems sein.

 

Die Systeme sind alle im selben AD

[NorbertFe 2.110]

Das kennwort darf nicht geändert werden? Wie willst du das verhindern? ;)

 

Bye

Norbert

 

PS: Es gibt in einer Domäne "sinnvollere" Lösungen um lokalen Admins den Zugriff zu gewähren. Lokale Konten benötigt man üblicherweise nicht.

[chakoe 10]

Hi,

 

in diesem Fall aber schon. Durch unsere GPO´s wird schon der Standard-Admin geändert ( Username) und nur für den Fall der Fälle genutzt und ist nur wenigen bekannt.

An den Remote Standorten sollen aber die Techniker nun nicht den lokalen Admin bekommen, der überall gilt, sondern einen eigenen haben.

 

Die haben keinen Domänen User, sollen lediglich für Service-Angelegenheiten ( LogFiles, Agents auslesen etc) eine lokale Anmeldung haben. Und bei einem Netzwerkausfall können die dann auch dort Fehlersuche machen.

 

Ausserdem gibt´s ja die Option "Benutzer kann Kennwort nicht ändern", inwieweit das aber zieht, wenn der User lokaler Admin ist, weiss ich auch grade nicht.

[NilsK 2.971]

Moin,

 

in diesem Fall aber schon. Durch unsere GPO´s wird schon der Standard-Admin geändert ( Username) und nur für den Fall der Fälle genutzt und ist nur wenigen bekannt.

 

lass mich an so ein System, und ich sage dir innerhalb von Sekunden, wie der lokale Admin heißt. Ohne Hacking.

 

An den Remote Standorten sollen aber die Techniker nun nicht den lokalen Admin bekommen, der überall gilt, sondern einen eigenen haben.

 

Ein "lokaler Admin, der überall gilt" ist grob fahrlässig. Wärst du mein Outsourcing-Dienstleister, würde ich den vertrag fristlos kündigen.

 

Ausserdem gibt´s ja die Option "Benutzer kann Kennwort nicht ändern", inwieweit das aber zieht, wenn der User lokaler Admin ist, weiss ich auch grade nicht.

 

Ganz einfach: Gar nicht. Ein Admin ist ein Admin ist ein Admin.

 

Schon mal darüber nachgedacht, dass ein lokaler Admin sich in den meisten Umgebungen sehr schnell und einfach zum Domänen-Admin machen kann? So, wie du eure Umgebung beschreibst, gehört sie dazu.

 

Gruß, Nils

[chakoe 10]

Mach Dir doch bitte keine Sorgen um unsere Umgebung, ich gebe Dir Brief und Siegel, daß Du dir da ziemlich sicher die Zähne ausbeissen wirst, zumindest was die Domänengeschichten angeht.

 

Grundsätzlich wollte ich aber hier einen konstruktiven Lösungsansatz bekommen und keine Grundsatzdiskussion über ein Für und Wider...ich habe die Regularien hier schliesslich nicht gemacht sondern bin nur gezwungen, Sie zu leben.

 

Also hat jemand eine praktikable Idee?

[NilsK 2.971]

Moin,

 

??? wir haben dir doch Wege genannt, wie du dein Ziel erreichen kannst.

 

Dass wir dir darüber hinaus Hinweise bezüglich der Sicherheit geben, wirst du uns schon zugestehen müssen. Dieses Board hat den Anspruch, sinnvolle Lösungen zu geben und unsicheren Bastelkram zu vermeiden. (Du könntest dich auch bedanken, statt zu maulen.)

 

Gruß, Nils