lokale Administratoren auf bestimmten Rechnern

[Garant 3]

Hallo,

 

ich habe für die lokalen Administratoren auf Client-Arbeitsplätzen die Beschreibung von Franky's Web bzgl. der Tier2Admins umgesetzt.

Nun gibt es die Anforderung, dass ein Mitarbeiter aus einer spez. Abteilung auf bestimmten Client-Arbeitsplätzen auch einen lokalen Admin benötigt.

 

Ich könnte nun eine zusätzliche Gruppenrichtlinie bauen, wo ich den (neuen) Tier2-Benutzer in die lokale Administratorengruppe verfrachte und über Zielgruppenadressierung die Zielsysteme auswerte.
Alternativ könnte ich ggf. über LAPS auch den Zugriff steuern, dann hätte der Mitarbeiter keinen gesonderten Tier2-Benutzer sondern könnte sich das Administrator-Kennwort auslesen.

 

Was würde aus eurer Sicht mehr Sinn machen?

 

Gruß

[NorbertFe 2.027]

vor 22 Minuten schrieb Garant:

Alternativ könnte ich ggf. über LAPS auch den Zugriff steuern, dann hätte der Mitarbeiter keinen gesonderten Tier2-Benutzer sondern könnte sich das Administrator-Kennwort auslesen.

 

Das geht aber nur, wenn deine AD Struktur das hergibt, denn du willst die Berechtigungen ja sicher nicht für jeden der betroffenen PCs explizit für den Nutzer erlauben. Bringt also nur etwas, wenn die entsprechenden Computer alle in einer OU stecken und zwar nur diese.

[NilsK 2.930]

Moin,

 

vor 26 Minuten schrieb Garant:

Was würde aus eurer Sicht mehr Sinn machen?

diese Frage können wir nicht beantworten. Die Gegebenheiten in eurem Unternehmen kennen wir ja schließlich nicht.

 

Vielleicht aber noch ein Hinweis dazu: Ein LAPS-Admin ist nicht identifizierbar. Das ist in einigen Situationen ein Kriterium.

 

Gruß, Nils

 

[daabm 1.348]

Laps ist keine Option, da bin ich bei Nils. Lies Dich mal hier durch: https://evilgpo.blogspot.com/2015/04/wer-bin-ich-und-was-darf-ich.html

Kann man problemlos auf Dein Szenario anpassen... DL-Gruppe erstellen für jeden Rechner. GG-Gruppe für User, die auf Rechnergruppen müssen. User in GG-Gruppe, die in die entsprechenden DL-Gruppen. Fertig.