Lokale Adminrechte nur wenn nicht mit der Domäne verbunden

[NorbertFe 2.034]

Der Chef? 🤣

[NilsK 2.934]

Moin,

 

vor 14 Stunden schrieb da4id:

Der vorhandene PC soll möglichst unverändert in die Domain gebracht werden, ohne dass dieser vorher plattgemacht werden muss.

um es kurz zu sagen: Es gibt keine Möglichkeit, das so zu machen, dass es zu verantworten ist.

 

Hier habe ich das mal durchgespielt:

https://youtu.be/qk9GW4E94R8

 

Gruß, Nils

 

[da4id 2]

Na das zieh ich mir aber gleich sowas von rein! 

Super Video Nils.

[mwiederkehr 373]

In der Tat, sehr geiles Video! Es zeigt wunderbar, wie sich eine Kombination von "ist nicht so schlimm"-Einstellungen auswirken kann. User haben lokale Adminrechte? Nicht schlimm, ist ja nur lokal. Support arbeitet mit Domain-Admin? Nicht schlimm, wissen ja, was sie tun.

 

Zum Thread: muss der Rechner unbedingt in die Domäne/ins interne Netzwerk? Oder gibt es Terminalserver, über die gearbeitet werden kann? Ich kenne das BYOD-Szenario nur von wenigen Kunden, und dort ist es so, dass private Geräte auch intern wie extern behandelt werden. Sie kommen also nur ins Gast-WLAN und arbeiten von dort auf dem Terminalserver.

[da4id 2]

Das Video hab ich jetzt zur Hälfte durch, muss jetzt mal nen Stück arbeiten. Soweit scheint mir aber, hier erhalte ich eine ganz gute Anleitung, wie unser fiktiver User die ganze Sache einfach selber erledigen kann 👻

 

vor 52 Minuten schrieb mwiederkehr:

Zum Thread: muss der Rechner unbedingt in die Domäne/ins interne Netzwerk? Oder gibt es Terminalserver, über die gearbeitet werden kann? Ich kenne das BYOD-Szenario nur von wenigen Kunden, und dort ist es so, dass private Geräte auch intern wie extern behandelt werden. Sie kommen also nur ins Gast-WLAN und arbeiten von dort auf dem Terminalserver.

Ja genau das war und ist der bisherige Stand. Könnte auch so beibehalten werden, aber der User bräuchte nun Zugriff zu einem Lizenzserver zur Nutzung einer bestimmten Software, und dieser Lizenzserver ist wohl nicht ohne Aufnahme des User-PCs in die Domain erreichbar.

 

[Sunny61 806]

vor einer Stunde schrieb da4id:

und dieser Lizenzserver ist wohl nicht ohne Aufnahme des User-PCs in die Domain erreichbar.

Ist das eine Annahme oder eine, durch ausreichende Tests, sichergestellte Aussage?

[da4id 2]

vor 8 Minuten schrieb Sunny61:

Ist das eine Annahme oder eine, durch ausreichende Tests, sichergestellte Aussage?

Das ist Aussage der IT und entspricht der tatsächlichen Erfahrung unseres fiktiven Users.

[da4id 2]

Also danke nochmals @Nils für das super Video. Manches geht natürlich "etwas über meinen Kopf" wie der Amerikaner sagt, aber alles sehr nachvollziehbar, und dabei auch noch kurzweilig.

Was mir noch nicht ganz klar ist, warum ist dies keine mögliche Option: 

 

Am 6.5.2021 um 18:24 schrieb da4id:

Angenommen der PC des Users würde im aktuellen Zustand "eingefroren", ihm die lokalen Adminrechte entzogen und der PC so in die Domain gebracht.

Der User müsste dann bei jeder zukünftigen Software-Installation oder bei jedem Update seiner speziellen Software sich mit der IT in Verbindung setzen, richtig?

[daabm 1.354]

Weil der "aktuelle Zustand" keiner Baseline entspricht. Und das auch nicht sinnvoll verifizierbar wäre.

[da4id 2]

Hier hat auf Serverfault noch jemand geantwortet. Leider verstehe ich kein Wort von dem was dort möglicherweise gemeint ist, und ob das etwas taugt.

 

Zitat

You can create a Folder with less GPO or none of it inherited to the folder, and put his AD user inside, this way the user can have mostly admin rights on his device and also get the privileges to be joined to your domain.

 

vor 1 Minute schrieb daabm:

Weil der "aktuelle Zustand" keiner Baseline entspricht. Und das auch nicht sinnvoll verifizierbar wäre.

Also weil der PC auch gefährlich sein könnte, ohne dass der User lokale Adminrechte hat?

 

Und welche Gefahren wären das falls zutreffend?

bearbeitet 7. Mai 2021 von da4id

[daabm 1.354]

Vergiß das einfach wieder - "New Contributor" sagt schon fast alles, und er hat keine Ahnung, wovon er eigentlich redet...

vor 12 Minuten schrieb da4id:

Also weil der PC auch gefährlich sein könnte, ohne dass der User lokale Adminrechte hat?

 

Wie stellst Du das sicher? Geplante Tasks, Dienste mit eigenartigen Executable-Verzeichnissen (Dienst läuft als SYSTEM, User hat Schreibrechte im Dienstverzeichnis), lokal definierte Startskripts - die Liste ist beliebig lang.

[NilsK 2.934]

Moin,

 

was mir die ganze Zeit nicht einleuchtet: Aus deinen Antworten geht hervor, dass ihr da irgendwas an der IT-Abteilung vorbei machen wollt. Das kann doch nicht richtig sein.

 

Gruß, Nils

 

[da4id 2]

vor einer Stunde schrieb NilsK:

Aus deinen Antworten geht hervor, dass ihr da irgendwas an der IT-Abteilung vorbei machen wollt. Das kann doch nicht richtig sein.

Eigentlich nicht, nein. Wir versuchen das zusammen mit der IT zu lösen.

[NorbertFe 2.034]

Und woran hakts? Die Lösung ist im Allgemeinen nicht, ein "fremdes" Gerät ins Netz zu hängen, wenn die Voraussetzungen dafür gar nicht gegeben sind. :)

[da4id 2]

Also ich nehme als Ergebnis mal mit, dass es nicht funktionieren wird, den fraglichen PC (gefahrlos) in die Domain zu bringen.

 

Bleibt noch die Frage mit dem Lizenzserver?

Am 7.5.2021 um 10:46 schrieb da4id:

der User bräuchte Zugriff zu einem Lizenzserver zur Nutzung einer bestimmten Software, und dieser Lizenzserver ist wohl nicht ohne Aufnahme des User-PCs in die Domain erreichbar.

 

Es handelt sich dabei um einen Lizenzserver der Firma ORX [Buchstaben alle jeweils um eins nach links verschoben auf der Tastatur, for privacy] für deren Produkt Xewi [dito]. 

 

Vielleicht hat ja noch jemand einen Ansatz, ob oder wie dieses Problem gelöst werden könnte. 

bearbeitet 8. Mai 2021 von da4id