RC<-->RC 0 Geschrieben 19. November 2019 Melden Teilen Geschrieben 19. November 2019 Liebe Gemeinde, Ich hab ein kleines Problem mit dem ich mich mitunter befasse. Als Einstieg zur Sicherheit unserer Domäne galt es anfangs nun endlich mal LAPS einzurichten, um die Lokalen PW nicht gleich zu haben, und Mailware bzw. Emotet weniger Plattform zu bieten. Zum eigentlichen Wir haben in jedem Standort MDT in Betrieb. Die Clients werden gleich in die Domäne gebracht. In der Customer und Boostrap.ini steht der Domain-Admin und das DomainAdminPassword in Klartext drin, was irgendwie ziemlich Affig ist. Hat jemand eine glorreiche Idee für mich, das einfach nicht mehr in Klartext rein schreiben zu müssen, oder eine Idee das zu sichern, da ich schon ein wenig bedenken habe, das diese INI ja nur ausgelesen werden muss um komplette Domänen Rechte sein eigen nennen zu dürfen :-( Viele Grüsse ! Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 19. November 2019 Melden Teilen Geschrieben 19. November 2019 Deswegen hat man einen eigenen Benutzer für das MDT und nutzt nicht den Domänen-Admin. Korrekt konfiguriert hat dann ein normaler Benutzer keinen Zugriff auf den Deployment-Share und die Dateien. Und um sich vor irrtümlichen Installationen zu schützen läßt man in der bootstrap.ini das Passwort auch besser weg. Zitieren Link zu diesem Kommentar
RC<-->RC 0 Geschrieben 19. November 2019 Autor Melden Teilen Geschrieben 19. November 2019 Der MDT ist ein eigener Benutzer, der eben Domänen Rechte benötigt um die Clients in die Domäne heben zu können. Kein normaler Domänen Nutzer hat Zugriff auf das Deployment Share ! Was die Irrtümlichen Installationen angeht, so lass ich den Haken bei Administratorgenehmigung gern drin Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 19. November 2019 Melden Teilen Geschrieben 19. November 2019 vor 16 Minuten schrieb RC<-->RC: Der MDT ist ein eigener Benutzer, der eben Domänen Rechte benötigt um die Clients in die Domäne heben zu können. Diesem Benutzer kann man diesbzgl. Rechte über die "Objektverwaltung zuweisen..." (rechte Maustaste des Domänenknotens von AD Benutzer und Computer), dass er Rechner in die Domäne bringen kann. Ich verstehe immer nicht, warum man sich die 5 min Mehrarbeit nicht macht? Deswegen gibt es auch so viele Firmen, wo der Benutzer "Scanner" mit dem Passwort "scanner" Domänen-Adminrechte hat. :-D Zitieren Link zu diesem Kommentar
testperson 1.677 Geschrieben 19. November 2019 Melden Teilen Geschrieben 19. November 2019 vor 36 Minuten schrieb 4077: Diesem Benutzer kann man diesbzgl. Rechte über die "Objektverwaltung zuweisen..." (rechte Maustaste des Domänenknotens von AD Benutzer und Computer), dass er Rechner in die Domäne bringen kann. Ich verstehe immer nicht, warum man sich die 5 min Mehrarbeit nicht macht? Weil man sich an dieser Stelle ein wenig mehr Arbeit wie 5 Minuten machen sollte. Ebenso sollte man davon absehen einem User Rechte zuzuweisen und dafür Gruppen nutzen. ;) Zitieren Link zu diesem Kommentar
4077 30 Geschrieben 19. November 2019 Melden Teilen Geschrieben 19. November 2019 vor 11 Minuten schrieb testperson: und dafür Gruppen nutzen. ;) Touché. Trotzdem sollte man es machen. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 19. November 2019 Melden Teilen Geschrieben 19. November 2019 Man könnte auch den Offline-Join nehmen... https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/ff793312(v%3Dws.11) Dann brauchts auf dem Client gar nix mehr außer nem File, um in die Domäne zu kommen. Und das sollte ja zu schaffen sein Zitieren Link zu diesem Kommentar
RC<-->RC 0 Geschrieben 25. November 2019 Autor Melden Teilen Geschrieben 25. November 2019 Vielen dank für die Antworten. Ich habs dann doch einfach über die Objektverwaltung gemacht Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.