GPP Local User

[speer 19]

Hallo zusammen,
wir stehen vor dem Problem Konzernweit mehrere Lokale Benutzerpasswörter zurückzusetzen. Über die GPP läßt MS die Passwortänderung bzw. setzen eines neuen Passwortes nicht zu.

Gibt es ggf. Boardmittel oder Möglichkeiten, ohne gleich eine Schemaerweiterung oder ähnliches durchzuführen?

Über Skript "net user Administrator NEUESPW" würde funktionieren, aber das Passwort im Klartext in der GPO...

 

Vielleicht hat jemand noch eine coole Idee :)

[Sunny61 806]

Mit LAPS lässt sich das PW des lokalen Administraors via GPO ändern. Das wäre ja schon mal ein User. Braucht ihr die lokalen User wirklch alle? Löschen via GPP und Domain User benutzer geht nicht?

 

EDIT: Noch ein paar Links zum Thema LAPS:

 

https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

https://support.microsoft.com/de-de/help/3062591/microsoft-security-advisory-local-administrator-password-solution-laps

https://asichel.de/2017/11/20/laps-bereitstellung-und-betrieb/

bearbeitet 8. November 2019 von Sunny61

[speer 19]

Wir möchten gerade auf eine Schemaerweiterung verzichten! Daher ist LAPS nichts für uns. Denke wir werden es über Powershell lösen.

[NorbertFe 2.027]

Und was ist an der Schemaerweiterung so fürchterlich?

[Sunny61 806]

Die Schemaerweiterung ist ja von MSFT selbst, also sollte das kein Problem sein.

[speer 19]

Gegen eine Schemaerweiterung spricht im normalfall nichts. Bei uns in der Firma ist sowas immer mit viel Bürokratie, Formulare, Genehmigungen, Überprüfungen, Risikoabwägung, etc. verbunden. Ein halbes, bis ganzes Jahr, ist da ratzfatz vorbei bis eine Genehmigung vorliegt.

[Nobbyaushb 1.464]

Und was macht ihr, wenn das Exchange-Setup eine Schema-Änderung mitbringt?

[MurdocX 949]

vor 2 Minuten schrieb Nobbyaushb:

Und was macht ihr, wenn das Exchange-Setup eine Schema-Änderung mitbringt?

Pssssssst.. Das weiß doch keiner offiziell.. 

vor 5 Stunden schrieb speer:

Wir möchten gerade auf eine Schemaerweiterung verzichten! Daher ist LAPS nichts für uns. Denke wir werden es über Powershell lösen.

Geht beides nicht parallel? Ich würde es beantragen und zwischenzeitlich eure Idee umsetzen. 

[speer 19]

vor 48 Minuten schrieb Nobbyaushb:

Und was macht ihr, wenn das Exchange-Setup eine Schema-Änderung mitbringt?

Ich möchte mal annehmen, dass keine Firma aus jux und dollerei auf die schnelle seinen Exchange Server updated.

Unsere Firma ist nunmal keine kleine 5 Mann Klitsche wo man solche Sachen mit dem Chef persönlich bespricht. Es gibt nunmal Regeln die die Firma vorgibt, ob diese mir als Admin passen oder nicht, aber ich habe mich daran zu halten.

 

 

bearbeitet 9. November 2019 von speer

[Nobbyaushb 1.464]

Exchange CU kommen alle 3 Monate, aus Erfahrung bringt etwa jedes 2te ein Schema-Erweiterung mit.

 

Für sowas hat man einen CIO, der das entscheiden kann/darf

 

Das ganze ist jetzt leider etwas Off-topic

bearbeitet 9. November 2019 von Nobbyaushb

[daabm 1.348]

@speer wir sind auch keine 5 Mann Klitsche. Schemaerweiterungen machen wir, wenn wir es für richtig halten, da redet niemand mit. Nicht Recht, nicht Security, nicht Management. Schema hat mit all dem NICHTS zu tun...

[testperson 1.674]

Guckt euch evtl. gleich AdmPwd.E (http://admpwd.com/) an. Nicht das sich bei LAPS jemand an nicht verschlüsselt gespeicherten Kennwörtern stört. AdmPwd.E hat zusätzlich noch das schöne Feature um auch Domain-Accounts zu verwalten.