Maraun 12 Geschrieben 9. Februar 2016 Melden Teilen Geschrieben 9. Februar 2016 Hallo zusammen, wir haben eine 2003er Domäne mit DC´s von 2003 - 2012. Der vordefinierte lokale Administrator User ist deaktiviert und dafür ist ein lokaler Admin-Benutzer per Softwareverteilung gesetzt.Jetzt meine Frage: Laut MS gibt es Sicherheitsbedenken für lokale Benutzerkonten mit priviligierten Rechten.Ist es dennoch zu empfehlen, den Admin-Benutzer per GPO unter den Eingeschränkten Gruppen zu konfigurieren? Wenn ja, wie genau funktioniert das?Ich möchte ja zuerst den lokalen Benutzer erstellen und ihm dann priviligierte Rechte per eingeschränkter Gruppe zuweisen.Die Group Policy Preferences sind installiert. Danke für alle Antworten. gruß Alex Zitieren Link zu diesem Kommentar
testperson 1.660 Geschrieben 9. Februar 2016 Melden Teilen Geschrieben 9. Februar 2016 Hi, schaust du hier: https://www.mcseboard.de/topic/206091-lokaler-benutzer-via-gpo-hinzuf%C3%BCgen/ Gruß Jan Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 9. Februar 2016 Melden Teilen Geschrieben 9. Februar 2016 Moin Alex, schau dir in dem Zusammenhang am besten auch direkt mal LAPS an. Zitieren Link zu diesem Kommentar
Maraun 12 Geschrieben 9. Februar 2016 Autor Melden Teilen Geschrieben 9. Februar 2016 Hi, habe ich bereits. Ich will aber, dass sich unser Support ohne Interaktion direkt mit dem altbekannten Benutzer/Kennwort aufschaltenund das System administrieren kann.So funktioniert LAPS aber nicht, oder? Dann werde ich es anders lösen.Erstelle einen Domänenbenutzer für den Support und hinterlege diesen mit administrativen Privilegien per GPO für den Support auf den jeweiligen OUs.Danke erstmal. Andere Frage: Ist es möglich, den bisherigen lokalen Admin User (nicht der integrierte lokale Administrator), der per Softwareverteilung auf allen Rechnern erstellt wurde, per GPO zu ändern? Gruß Alex Zitieren Link zu diesem Kommentar
ChrisRa 42 Geschrieben 9. Februar 2016 Melden Teilen Geschrieben 9. Februar 2016 (bearbeitet) Hi, habe ich bereits. Ich will aber, dass sich unser Support ohne Interaktion direkt mit dem altbekannten Benutzer/Kennwort aufschalten und das System administrieren kann. So funktioniert LAPS aber nicht, oder? Naja, damit hebelst du LAPS eigentlich komplett wieder aus. Sinn ist es ja, dass man an jeder Workstation ein eigenständiges Passwort für den lokalen Admin hat. Du kannst LAPS mit speziellen Delegierungen natürlich so einrichten, dass der Support auch nur die PWs auslesen kann, auf den OUs er auch Zugriff hat. Was möchtest du an dem Benutzer ändern? bearbeitet 9. Februar 2016 von ChrisRa Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 9. Februar 2016 Melden Teilen Geschrieben 9. Februar 2016 Andere Frage: Ist es möglich, den bisherigen lokalen Admin User (nicht der integrierte lokale Administrator), der per Softwareverteilung auf allen Rechnern erstellt wurde, per GPO zu ändern? Wenn das die Änderung des Passwortes beinhaltet, nein, das geht nicht mehr. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.