6
Active-Directory: Lokale Admin-Passworte via GPO ohne LAPS setzen
Hallo!
Ich habe hier gerade folgendes Projekt:
- Auf jedem Rechner einer OU soll es ein lokales Admin-Passwort geben.
- Das Passwort soll automatisch gesetzt werden, wenn ein Rechner der OU hinzugefügt wird.
- Das Passwort soll für die Rechner einer OU gleich sein.
- Das Passwort soll nicht im Klartext in irgendeinem Script auf irgendeinem Share liegen.
Hier komme ich nicht weiter.
Früher war dies ja möglich per GPO lokale User zu verwalten, aber da der Schlüssel bekannt ist, mit dem sie verschlüsselt werden, hat Microsoft dies ja heraus genommen.
LAPS soll die Alternative sein, aber hier gibt es individuelle Passworte (was in diesem Fall nicht gewünscht ist.
Habt ihr eine Idee, wie ich das umsetzen kann?
Per Skript das Passwort setzen wäre unproblematisch, aber hier steht es dann im Klartext.
Danke und Grüße
Phil
Ich habe hier gerade folgendes Projekt:
- Auf jedem Rechner einer OU soll es ein lokales Admin-Passwort geben.
- Das Passwort soll automatisch gesetzt werden, wenn ein Rechner der OU hinzugefügt wird.
- Das Passwort soll für die Rechner einer OU gleich sein.
- Das Passwort soll nicht im Klartext in irgendeinem Script auf irgendeinem Share liegen.
Hier komme ich nicht weiter.
Früher war dies ja möglich per GPO lokale User zu verwalten, aber da der Schlüssel bekannt ist, mit dem sie verschlüsselt werden, hat Microsoft dies ja heraus genommen.
LAPS soll die Alternative sein, aber hier gibt es individuelle Passworte (was in diesem Fall nicht gewünscht ist.
Habt ihr eine Idee, wie ich das umsetzen kann?
Per Skript das Passwort setzen wäre unproblematisch, aber hier steht es dann im Klartext.
Danke und Grüße
Phil
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 385086
Url: https://administrator.de/contentid/385086
Printed on: April 25, 2024 at 19:04 o'clock
6 Comments
Latest comment
Moin,
du kannst das mit Powershell Secure Strings machen, dann steht das Passwort nicht im Klartext im Script.
/Thomas
du kannst das mit Powershell Secure Strings machen, dann steht das Passwort nicht im Klartext im Script.
/Thomas
1
Hi.
Ich habe einen Vorschlag:
Da Ihr ja an Sicherheit interessiert zu sein scheint, überdenkt die Anforderungen noch einmal.
Ich habe einen Vorschlag:
Da Ihr ja an Sicherheit interessiert zu sein scheint, überdenkt die Anforderungen noch einmal.
Das Passwort soll nicht im Klartext in irgendeinem Script auf irgendeinem Share liegen
->Das ist ja nur dann ein Problem, wenn dieses Share für Personen lesbar ist, die dort nichts zu suchen haben - wie soll es denn dazu kommen, wenn man die Berechtigungen entsprechend vergibt? Das Passwort soll für die Rechner einer OU gleich sein.
->Das ist sicherheitstechnisch schon sehr bedenklich und ich würde dir raten, dir statt dessen mein Konzept anzusehen, welches sicher ist bei hohem Komfort: Sicherer Umgang mit Supportkonten
Hallo!
@tkr104
Vielen Dank!
Das sieht super aus.
Damit komme ich weiter.
Gruß
@tkr104
Vielen Dank!
Das sieht super aus.
Damit komme ich weiter.
Gruß
Hallo!
@aqui:
Du hast Recht, das könnte man mit den Berechtigungen auf das Share lösen, aber ich finde es nie prickelnd, wenn irgendwo Dateien im Klartext liegen. Am Schluss sind sie dann in irgendeinem Backup und jemand verschafft sich darüber Zugriff...
Gleiche Passworte sind nie eine gute Lösung, aber manchmal vielleicht eine "noch akzeptable" für Gruppen - zumindest in meinen Augen.
Gruß und danke
Phil
@aqui:
Du hast Recht, das könnte man mit den Berechtigungen auf das Share lösen, aber ich finde es nie prickelnd, wenn irgendwo Dateien im Klartext liegen. Am Schluss sind sie dann in irgendeinem Backup und jemand verschafft sich darüber Zugriff...
Gleiche Passworte sind nie eine gute Lösung, aber manchmal vielleicht eine "noch akzeptable" für Gruppen - zumindest in meinen Augen.
Gruß und danke
Phil
aqui? habe ich meine Umbenamsung verpasst?
Glaub mir, das Problem dass die Dinger im Klartext auf einem geschützten Share liegen ist kleiner, als dass die OU-weit gleich sind.
Glaub mir, das Problem dass die Dinger im Klartext auf einem geschützten Share liegen ist kleiner, als dass die OU-weit gleich sind.
Oh... das tut mir Leid...
Sorry.
Sorry.
