speer 19 Geschrieben 13. März Melden Teilen Geschrieben 13. März Guten Morgen zusammen, auf einem Standalone Windows 10 ohne Netzwerkanbindung arbeiten abwechseln mehrere Personen mit einem Programm. Aufgrund der mangelnden Netzwerkkonektivität ist die Administration eh erschwert. Was aber extrem nervt, ist das Anlegen/Löschen von Benutzerkonten und das zurücksetzen von Passwörtern. Hatte das bisher so gelöst, das über die Aufgabenplanung ein Powershell Skript mit erhöhten Rechte ausgeführt wird bei der Anmeldung eines bestimmtes Benutzers der selbst nur Mitglied in "Benutzer" ist. Das Skript selbst liegt in einem Ordner in dem der besagte Benutzer lesend darauf zugreifen kann um mögliche Manipulation am Skript zu verhindern. Da bei uns im Sommer/Herbst ein IT-Audit ansteht und auch der Bereich mit oben besagtem Windows Rechner ein Teil ist, stellt sich mir die Frage ob es seitens Microsoft eine elegantere Möglichkeit gibt die lokale Benutzerverwaltung zu delegieren. Daher wende ich mich hoffnungsvoll an Euch :) Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 13. März Melden Teilen Geschrieben 13. März Hi, was ist denn vor 10 Minuten schrieb speer: mangelnden Netzwerkkonektivität genau? Kein Internet, kein Netzwerk, gar nix? Gruß Jan Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 13. März Autor Melden Teilen Geschrieben 13. März Richtig, deaktivierte Netzwerkkarte. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 13. März Melden Teilen Geschrieben 13. März Und daran ist absolut nicht zu rütteln? Ansonsten könntest du - je nach dem was an Software zur Verwaltung vorhanden ist - nur diese Netzwerkverbindung erlauben. Ansonsten kann das so ja durchaus eine gute und passende Lösung sein. In der Theorie könnte jetzt noch ein WinPE / Linux von CD / USB gebootet werden und darüber das Script manipuliert werden. Mit Applocker könntest du noch alles an Scripts sperren und nur dieses per Dateihash freigeben. Alternativ / Zusätzlich das PowerShell Script signieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. März Melden Teilen Geschrieben 13. März vor 16 Minuten schrieb testperson: In der Theorie könnte jetzt noch ein WinPE / Linux von CD / USB gebootet werden Aber nur, wenn das im Bios erlaubt ist und nicht Bitlocker aktiviert ist. Zitieren Link zu diesem Kommentar
speer 19 Geschrieben 13. März Autor Melden Teilen Geschrieben 13. März Der Rechner ist aktuell noch eine Kröte die wir noch bis Q1 2025 schlucken müssen. Bitlocker ist natürlich aktiviert... Hätte jetzt eigentlich gedacht, dass es hier eine Möglichkeit gibt ohne Admin Rechte bestimmte Verwaltungsaufgaben an Dritte zu delegieren. In diesem Fall verbleibe ich tatsächlich beim Skript... :) Vielen Dank Euch für die Infos und Antworten. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 13. März Melden Teilen Geschrieben 13. März Das ist nen pc. Was genau soll man denn da delegieren können? Es gibt ja kaum was, mit dem man sowas verwalten könnte. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 13. März Melden Teilen Geschrieben 13. März Mit Netzwerk wäre ggfs. Intune oder ein selbst gehostetes Endpoint Management evtl. ein Ansatz oder eine AV Lösung, die ein Remote Management mitbringt. Mit abgeschottetem Netzwerk könnte man evtl. eine Domäne in Betracht ziehen. Ohne Netzwerk bleibt halt dein Script oder ggfs. gibt es bei einem Anbieter für (Privileged) Identity Management etwas im Regal. Um hier evtl. noch mit Ideen zu kommen, wäre wohl das "Warum muss der Rechner Standalone ohne Netzwerk betrieben werden?" zu klären bzw. müsste da wohl dran gerüttelt werden. 1 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 13. März Melden Teilen Geschrieben 13. März Lokale Benutzer haben keine ACLs - sie sind entweder Benutzer oder Admins. Ein Admin darf, ein Benutzer darf nicht. So einfach ist das 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.