ChrisRa 42 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 Hallo und guten Morgen zusammen, ich möchte gerne LAPS implementieren. Der RID500 ist bei uns deaktiviert. Ich würde gerne auf allen Rechnern einen lokalen Benutzer hinzufügen, an dem ich LAPS anwenden kann. Funktioniert die Komponente in den GPPs noch? Bei einem Test hat es nicht funktioniert. Gibt es andere Alternativen? Lokale Adminrechte kann ich ja letztendlich über die eingeschränkten Gruppen erteilen. Grüße und einen schönen Tag! Zitieren
testperson 1.758 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 Hi, ggfs. über PowerShell Remoting? Gruß Jan Zitieren
ChrisRa 42 Geschrieben 27. Januar 2016 Autor Melden Geschrieben 27. Januar 2016 Ja, habe ich auch schon gedacht. Dann müsste ich aber dafür sorgen, dass alle Rechner an sind. Oder als Startskript? Zitieren
blub 115 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 Funktioniert die Komponente in den GPPs noch? Bei einem Test hat es nicht funktioniert. such mal nach den letzten Windows10 TH2 Policies. Da gibt es die AdmPwd.admx LAPS - Enable local admin password management LAPS - Password Settings LAPS - Name of administrator account to manage LAPS - Do not allow password expiration time longer than required by policy blub Zitieren
ChrisRa 42 Geschrieben 27. Januar 2016 Autor Melden Geschrieben 27. Januar 2016 Ja, das ist schon klar. Ich habe allerdings bisher gar keine lokalen Konten. Um LAPS einsetzen zu können, brauche ich an allen Rechnern ein lokales Konto, um auf diesem dann LAPS anwenden zu können. (LAPS - Name of administrator account to manage) Um um die Erstellung dieses Kontos geht es mir hier. :-) Zitieren
P-a-x-i 12 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 Servus, funktioniert das Erstellen des Nutzers nicht oder die Defintionen der Richtlinien? Zitieren
ChrisRa 42 Geschrieben 27. Januar 2016 Autor Melden Geschrieben 27. Januar 2016 (bearbeitet) Es funktioniert alles soweit. LAPS läuft auch schon. (Wenn ich den User manuell anlege) Ich muss nun allerdings auf allen Rechnern einen lokalen Benutzer anlegen, auf dem ich LAPS anwende (also einen lokalen Admin, Richtlinie: LAPS - Name of administrator account to manage). Ich möchte ungern an jedem Rechner händisch den User anlegen. bearbeitet 27. Januar 2016 von ChrisRa Zitieren
Sunny61 816 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 Du kannst dir diese Artikel anschauen: http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ http://www.gruppenrichtlinien.de/artikel/verwaltung-der-lokalen-administratoren/ Zitieren
ChrisRa 42 Geschrieben 27. Januar 2016 Autor Melden Geschrieben 27. Januar 2016 (bearbeitet) Danke Sunny, hilft mir leider aber nicht weiter. Ich versuche es noch mal zu erklären. :D Ich möchte gerne auf allen Computern einer bestimmten OU per GPO ein lokales Benutzerkonto erstellen. Was ich dann machen muss, ist mir klar. Es geht wirklich nur um diese "einfache" Fragestellung. bearbeitet 27. Januar 2016 von ChrisRa Zitieren
Sunny61 816 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 Danke Sunny, hilft mir leider aber nicht weiter. Ich versuche es noch mal zu erklären. :D Ich möchte gerne auf allen Computern einer bestimmten OU per GPO ein lokales Benutzerkonto erstellen. Ja, schon klar. Steht doch auch so in http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ drin, oder versteh ich dich flasch? Ansonsten findest Du in den Group Policy Preferences das was Du suchst. https://technet.microsoft.com/en-us/library/cc731972.aspx https://technet.microsoft.com/en-us/library/cc771917.aspx Zitieren
daabm 1.386 Geschrieben 27. Januar 2016 Melden Geschrieben 27. Januar 2016 GPP geht net - da kannst kein Kennwort eintragen, und ohne Kennwort wird das i.d.R. nicht funktionieren... Computerstartskript, "net user" und "net localgroup" wäre der pragmatische Workaround. Zitieren
ChrisRa 42 Geschrieben 28. Januar 2016 Autor Melden Geschrieben 28. Januar 2016 Ja, schon klar. Steht doch auch so in http://www.gruppenrichtlinien.de/artikel/lokaler-administrator-install-agent-delegation-pro-computer/ drin, oder versteh ich dich flasch? Damit hebel ich ja die ganze Funktionsweise von LAPS aus. Es ist quasi ein "wie kann man es noch machen". GPP hat daadb schon erwähnt, funktioniert leider nicht mehr. Ich werde es dann mal mit "net user" versuchen. Zitieren
Sunny61 816 Geschrieben 28. Januar 2016 Melden Geschrieben 28. Januar 2016 Mit Hilfe der GPP habe ich gerade einen Benutzer lokal angelegt, Konto deaktiviert und kein Kennwort vergeben. Zitieren
ChrisRa 42 Geschrieben 28. Januar 2016 Autor Melden Geschrieben 28. Januar 2016 (bearbeitet) Verrätst du mir den Trick? :D Stichwort Kennwortrichtlinien. bearbeitet 28. Januar 2016 von ChrisRa Zitieren
NorbertFe 2.155 Geschrieben 28. Januar 2016 Melden Geschrieben 28. Januar 2016 Ist doch einfach easy (ohne es getestest zu haben). Du legst einen lokalen User per GPP an, da du dort keine Passworte mehr vergeben kannst, wird das Konto mit leerem Passwort angelegt, dafür aber deaktiviert. Hinterher kommt irgendwann LAPS und vergibt diesem Konto ein Passwort und jetzt brauchst du nur noch per GPP definieren, dass dieses Konto aktiv ist. Wozu braucht man ein lokales Konto? Bye Norbert Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.