Scharping-FVB 11 Geschrieben Donnerstag um 07:47 Melden Geschrieben Donnerstag um 07:47 Liebes Forum, wenn ich ohne Domain, zu Hause, mich an meinem Win10 Notebook als ein lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden Domäne. Mit meinem eigenen, normalen User klappt es. Der adloc-User war bereits in der Domäne angemeldet, die Credentials sollten also zwischen gespeichert sein, so wie die meines normalen Users. Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur Domäne anmelden kann? Viele Grüße Davorin Zitieren
NorbertFe 2.182 Geschrieben Donnerstag um 07:51 Melden Geschrieben Donnerstag um 07:51 vor 4 Minuten schrieb Scharping-FVB: lokaler Administrator (Domain User) anmelden möchte, scheitert dies, aufgrund der fehlenden Domäne. Mit meinem eigenen, normalen User klappt es. Google mal Cached credentials. ;) vor 4 Minuten schrieb Scharping-FVB: Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? Kann man konfigurieren, wieviel gespeichert werden. Probier’s doch in der Firma aus. Melde dich ab, zieh das lankabel ab oder Wireless aus. vor 6 Minuten schrieb Scharping-FVB: Wie kann ich erreichen, dass sich auch ein loakler Admin (Domain User) ohne Verbindung zur Domäne anmelden kann? Indem man mindestens zwei zwischengespeicherte Anmeldungen erlaubt. Und nur diese zwei Accounts das Notebook nutzen und beide wenigstens einmal online angemeldet werden. Zitieren
Beste Lösung testperson 1.768 Geschrieben Donnerstag um 07:56 Beste Lösung Melden Geschrieben Donnerstag um 07:56 Hi, vor 8 Minuten schrieb Scharping-FVB: Oder werden die Creds eines lokalen Admins (Domain User) nicht zwischengespeichert? falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so. Gruß Jan 1 Zitieren
Scharping-FVB 11 Geschrieben Donnerstag um 08:24 Autor Melden Geschrieben Donnerstag um 08:24 vor 27 Minuten schrieb testperson: Hi, falls der Domain User mit lokalen Adminrechten in der Gruppe der "Protected Users" ist, dann ist das so. Gruß Jan Dann ist das der Grund, danke für den Hinweis! Zitieren
NorbertFe 2.182 Geschrieben Donnerstag um 08:37 Melden Geschrieben Donnerstag um 08:37 Wer kommt denn auf die Idee 😆 Zitieren
Scharping-FVB 11 Geschrieben Donnerstag um 08:46 Autor Melden Geschrieben Donnerstag um 08:46 vor 7 Minuten schrieb NorbertFe: Wer kommt denn auf die Idee 😆 Ist das eine blöde Idee? Protected Users schützt doch die Credentials. Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmäßig zu ändern, sollte vor Pash-the-Hash geschützt werden. Oder gibt es da andere, begründete Empfehlungen? Zitieren
NorbertFe 2.182 Geschrieben Donnerstag um 08:48 Melden Geschrieben Donnerstag um 08:48 Gerade eben schrieb Scharping-FVB: Ist das eine blöde Idee? Protected Users schützt doch die Credentials Hängt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt. Zitieren
Dukel 463 Geschrieben Donnerstag um 08:51 Melden Geschrieben Donnerstag um 08:51 vor 3 Minuten schrieb Scharping-FVB: Ist das eine blöde Idee? Protected Users schützt doch die Credentials. Und vor dem Hintergrund des BSI Empfehlung, Kennwörter nicht mehr regelmäßig zu ändern, sollte vor Pash-the-Hash geschützt werden. Oder gibt es da andere, begründete Empfehlungen? Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren. Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen. Zitieren
Scharping-FVB 11 Geschrieben Donnerstag um 08:53 Autor Melden Geschrieben Donnerstag um 08:53 vor 3 Minuten schrieb NorbertFe: Hängt halt vom Anforderungsprofil ab. Und bevor ich sowas pauschal umsetze, schaue ich mir evtl. eben erstmal die Konsequenzen an, die diese Konfiguration mit sich bringt. Wir haben einiges ausprobiert, aber diese lokale Anmeldung dabei übersehen. Bisher hatte Protected Users keine negativen Auswirkungen gehabt. Zitieren
NorbertFe 2.182 Geschrieben Donnerstag um 08:54 Melden Geschrieben Donnerstag um 08:54 Gerade eben schrieb Scharping-FVB: Bisher hatte Protected Users keine negativen Auswirkungen gehabt. Na dann ist doch gut für euch.😆 Zitieren
Scharping-FVB 11 Geschrieben Donnerstag um 08:56 Autor Melden Geschrieben Donnerstag um 08:56 vor 3 Minuten schrieb Dukel: Macht es doch ;) Du kannst die Credentials nicht ohne Verbindung ins Netz ausprobieren. Entweder keine Protected Users oder Lokale Administratoren (LAPS) nutzen. LAPS verwenden wir bereits. Ist halt sehr aufwändig, wenn unser Netzwerker im Serverraum mit seinem Laptop sich lokal als Admin anmelden will. Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen. Aber klar, wer das eine Will, muss das andere Mögen! Zitieren
Dukel 463 Geschrieben Donnerstag um 09:01 Melden Geschrieben Donnerstag um 09:01 Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Zitieren
testperson 1.768 Geschrieben Donnerstag um 09:09 Melden Geschrieben Donnerstag um 09:09 vor 7 Minuten schrieb Scharping-FVB: Dann muss er erst das LAPS-Kennwort aufschreiben und dann fehlerbehaftet eintippen. LAPS unter Windows Server 2025 / Windows 11 24H2 hat da eine bzw. zwei (drei) coole, neue Funktion(en): Kennwörter ohne "leicht zu verwechselnde" Zeichen erstellen (+ besser lesbare Schriftart im ADUC) Kennwortsätze bzw. Passphrases sind möglich (Verwaltung des lokalen Adminkontos, der dann pro Device ebenfalls einmalig ist) Zitieren
Scharping-FVB 11 Geschrieben Freitag um 12:08 Autor Melden Geschrieben Freitag um 12:08 Am 20.3.2025 um 10:01 schrieb Dukel: Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich würde er dort, wo er kann, sich ans Netzwerk anschließen. Wofür er die lokale Anmeldung ohne Domäne braucht, weiß ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur Domäne unterwegs ist zur Router- oder Firewallkonfiguration. Zitieren
Scharping-FVB 11 Geschrieben Samstag um 10:36 Autor Melden Geschrieben Samstag um 10:36 Am 20.3.2025 um 10:01 schrieb Dukel: Im Serverraum gibt es keine freien LAN Dosen um eine Verbindung zum AD zu bekommen? Wenn der Netzwerker die Anforderung hat, sich lokal ohne Netzwerk anmelden zu wollen, dann ist das erst einmal so seine Arbeitsweise. Sicherlich würde er dort, wo er kann, sich ans Netzwerk anschließen. Wofür er die lokale Anmeldung ohne Domäne braucht, weiß ich nicht. Vielleicht wenn er in einem anderen VLAN ohne Routing zur Domäne unterwegs ist zur Router- oder Firewallkonfiguration. Und gerade eben, beim Patchday hat es mich erwischt: Server fährt nach dem Neustart hoch und hat das Netzwerk nicht erkannt. Keine Domäne, keine Anmeldung... VM also neu starten und Daumen drücken, dass das reicht - hat gereicht. Bei Blechservern große ka**e, da muss dann LAPS her. Mit nicht 2025 und dessen lesbaren Kennwörtern, eine Qual :-( Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.