Garant 3 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Hallo, ich habe für die lokalen Administratoren auf Client-Arbeitsplätzen die Beschreibung von Franky's Web bzgl. der Tier2Admins umgesetzt. Nun gibt es die Anforderung, dass ein Mitarbeiter aus einer spez. Abteilung auf bestimmten Client-Arbeitsplätzen auch einen lokalen Admin benötigt. Ich könnte nun eine zusätzliche Gruppenrichtlinie bauen, wo ich den (neuen) Tier2-Benutzer in die lokale Administratorengruppe verfrachte und über Zielgruppenadressierung die Zielsysteme auswerte. Alternativ könnte ich ggf. über LAPS auch den Zugriff steuern, dann hätte der Mitarbeiter keinen gesonderten Tier2-Benutzer sondern könnte sich das Administrator-Kennwort auslesen. Was würde aus eurer Sicht mehr Sinn machen? Gruß Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 vor 22 Minuten schrieb Garant: Alternativ könnte ich ggf. über LAPS auch den Zugriff steuern, dann hätte der Mitarbeiter keinen gesonderten Tier2-Benutzer sondern könnte sich das Administrator-Kennwort auslesen. Das geht aber nur, wenn deine AD Struktur das hergibt, denn du willst die Berechtigungen ja sicher nicht für jeden der betroffenen PCs explizit für den Nutzer erlauben. Bringt also nur etwas, wenn die entsprechenden Computer alle in einer OU stecken und zwar nur diese. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 4. März 2021 Melden Teilen Geschrieben 4. März 2021 Moin, vor 26 Minuten schrieb Garant: Was würde aus eurer Sicht mehr Sinn machen? diese Frage können wir nicht beantworten. Die Gegebenheiten in eurem Unternehmen kennen wir ja schließlich nicht. Vielleicht aber noch ein Hinweis dazu: Ein LAPS-Admin ist nicht identifizierbar. Das ist in einigen Situationen ein Kriterium. Gruß, Nils Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 5. März 2021 Melden Teilen Geschrieben 5. März 2021 Laps ist keine Option, da bin ich bei Nils. Lies Dich mal hier durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html Kann man problemlos auf Dein Szenario anpassen... DL-Gruppe erstellen für jeden Rechner. GG-Gruppe für User, die auf Rechnergruppen müssen. User in GG-Gruppe, die in die entsprechenden DL-Gruppen. Fertig. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.