Jump to content

lokalen Admin auf den Clients zu löschen, sinnvoll?

porki

Von porki
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Threeman Explorer

Threeman   12

Geschrieben
Geschrieben

Hi Porki, 

du solltest immer einen lokalen User auf dem System haben, quasi für den Notfall (z.b. Verlust der Vertrauensstellung), dann muss das System nicht direkt neu installiert werden.

Um dem Sicherheitsanliegen deines Kollegen entgegen zu kommen, kannst du den Standard User "Administrator" umbenennen und deaktivieren.

Als neuen lokalen Admin solltet ihr euch eine Namenskonvention überlege und standardisieren z.B. "lokadmin", "lokaler_admin", "notadmin", oder ähnliches.

Wichtig ist auch hier der regelmäßige Passwortwechsel, z.b. durch Microsoft LAPS 

Link zu diesem Kommentar
porki Proficient

porki   11

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Danke für eure Antworten.

vor 6 Minuten schrieb NorbertFe:

_Den_ lokalen Admin kann man sowieso nicht wirklich löschen. (Ja ich weiß). Wie wärs denn mit deaktivieren, oder wie stellt der Kollege es sich vor, als Admin ranzukommen, wenn man keine Domäne mehr hat?

Der stellt sich das so vor, mit einem Windows Start USB das System zu starten und dann den lokalen Admin darüber hinzuzufügen, bzw. zu aktivieren. Ob so was geht, weiß ich nicht. Wenn löschen nicht geht, dann muss er den deaktiviert haben, ich schaue mir das morgen mal genauer an.

bearbeitet von porki
Link zu diesem Kommentar
MurdocX Veteran

MurdocX   953

Geschrieben
Geschrieben (bearbeitet)
vor 1 Stunde schrieb porki:

Ein Kollege möchte aus Sicherheitsgründen den lokalen Admin löschen.

vor 7 Minuten schrieb porki:

Das habe ich ihn auch gefragt, er meint aus Sicherheitsgründen.

Um die Sicherheit der Clients zu erhöhen gibt es viele Möglichkeiten in Windows. Manchmal auch Lizenzabhängig. Vor was wollt Ihr euch denn schützen?

 

PS: Ich würde den Ansatz genau umdrehen, um Sicherheit zu erreichen.

bearbeitet von MurdocX
Link zu diesem Kommentar
MurdocX Veteran

MurdocX   953

Geschrieben
Geschrieben
vor 8 Minuten schrieb porki:

Er meint, wenn ein Mitarbeiter mal über seine Schulter schaut und er nicht aufmerksam ist, dann hätte er das lokale Passwort für jeden PC.

1. Sicherheitsmaßnahme -> Keine identischen lokalen Passwörter!

Passendes Produkt -> LAPS 

 

Msxfaq | LAPS - Local Admin Password Solution

https://www.msxfaq.de/windows/endpointsecurity/laps.htm

 

it-pirate | Microsoft Local Administrator Password Solution

https://de.it-pirate.eu/microsoft-local-administrator-password-solution-laps/

 

Alles hat Vor- und Nachteile. Die sollte man vorher lesen und verstehen. Das Produkt ist kostenlos.

Link zu diesem Kommentar
Dukel Grand Master

Dukel   455

Geschrieben
Geschrieben
2 hours ago, porki said:

Danke für eure Antworten.

Der stellt sich das so vor, mit einem Windows Start USB das System zu starten und dann den lokalen Admin darüber hinzuzufügen, bzw. zu aktivieren. Ob so was geht, weiß ich nicht. Wenn löschen nicht geht, dann muss er den deaktiviert haben, ich schaue mir das morgen mal genauer an.

Wenn man physischen Zugang zu einem Rechner hat hat man meist Möglichkeiten das System zu knacken. Hier hilft dann normalerweise nur die Verschlüsslung des Systems.

 

Man muss sich überlegen, gegen was man sich schützen möchte und leitet daraus Maßnahmen ab. Möglichkeiten und Angriffsvektoren gibt es viele.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...