Lokaler Admin nach Domänenbeitritt kein Mitglied der lokalen Gruppe "Administratoren"

[Samoth 33]

Hallo zusammen,

 

mir ist heute etwas Neues untergekommen: An einem Win10 1909 haben wir einen User "LocalAdmin" angelegt und den in die lokale Gruppe "Administratoren" gepackt. In der angemeldeten Session dieses Users sind wir der Domäne beigetreten. Im Anschluss war dieser User keiner Gruppe mehr zugeordnet. Das ist mir neu. Soll das so sein? Hintergrund? Was würde passieren, wenn ich in der Session des Builtin-Administrator der Domäne beigetreten wäre? Hätte der dann auch seine Gruppenzugehörigkeit verloren?

Viele Grüße + Danke für die Aufklärung

Samoth

[testperson 1.707]

Hi,

 

ich würde vermuten, dass es eine entsprechende Policy oder ein Script gibt, welches die lokale Gruppe der Administratoren entsprechend konfiguriert (und "sauber" hält). Das macht halt schon Sinn.

 

Generell darf jeder User fünf (oder zehn?) Computer zur Domäne hinzufügen. Wenn dieser User jetzt z.B. ein Gerät mitbringt, wo er lokaler Admin ist und nach dem Domain-Join auch noch lokaler Admin ist, kann er bspw. seinem Account über den lokalen Admin entsprechend in die lokalen Administratoren aufnehmen.

 

Als neues 1909 "Feature" wäre mir das jedenfalls noch nicht bekannt.

 

Gruß

Jan

[NorbertFe 2.061]

vor 26 Minuten schrieb Samoth:

Hätte der dann auch seine Gruppenzugehörigkeit verloren?

Das geht nicht.

[Samoth 33]

Für mich ein spannendes Thema! Ich sage vorweg schon mal, dass Windows-Administration nicht unser berufliches Hauptgebiet ist

vor 8 Minuten schrieb testperson:

Generell darf jeder User fünf (oder zehn?) Computer zur Domäne hinzufügen.

Diesen Umstand habe ich neulich auch mit einem Kollegen entdeckt. Ich verstehe das so, dass ich irgendein Notebook mit ins Geschäft bringe, es ans Netz anschließe, der Domäne beitrete und mich dann zum Beitreten mit meinem eigenen Domänen-User authentifiziere. Ist das nicht etwas riskant? Bisher dachte ich, dass nur ein Admin diese Authentifizierung durchführen darf bzw. können sollte?

 

vor 18 Minuten schrieb testperson:

wo er lokaler Admin ist und nach dem Domain-Join auch noch lokaler Admin ist, kann er bspw. seinem Account über den lokalen Admin entsprechend in die lokalen Administratoren aufnehmen.

Nach dem Join würden ihm sozusagen seine Rechte als lokaler Admin entzogen, OK. Aber was wäre damit gewonnen, selbst wenn er das könnte? Vorher war er ja auch schon lokaler Admin.

vor 18 Minuten schrieb NorbertFe:

Das geht nicht.

Habe vorhin auch mal nachgelesen und Builtin-Admin ist nicht gleich User in der Gruppe der lokalen Admin.

[NorbertFe 2.061]

vor 2 Minuten schrieb Samoth:

Aber was wäre damit gewonnen, selbst wenn er das könnte? Vorher war er ja auch schon lokaler Admin.

Dass er es hinterher nicht mehr ist. Wenn er also nicht von vornherein bereit war, das System zu kompromitieren, hat er jetzt weniger Chancen. Abgesehen davon gibts genau dafür ja entsprechende Deploymentrichtlinien und Berechtigungen, dass eben nicht jeder "Honk" einen PC in die Domäne aufnehmen darf. Muss man halt vorher konfigurieren.