geocast
Goto Top

AD wie mit lokalen Benutzern umgehen

Guten Morgen zusammen

Ich wollte mal fragen, wie ihr damit Umgeht und zwar, wenn man einen PC vorbereitet für die Domäne hat dieser PC für gewöhnlich einen lokalen Benutzer. Also nicht die vordefinierten Konten wie Administrator oder Gast, sondern den Benutzer den man selbst eingerichtet hat um dem PC einzurichten.
Wie verfahrt ihr mit diesem Benutzer nachdem der PC in die Domäne aufgenommen worden ist? Deaktiviert ihr ihn oder sogar Löschen? Oder gebt ihr dem Benutzer ein Passwort das nur den Domänenadmins bekannt ist?

Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.

Oder was denkt ihr dazu?

Danke für euer Input.

Content-Key: 294471

Url: https://administrator.de/contentid/294471

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: 117643
117643 28.01.2016 um 10:22:37 Uhr
Goto Top
alle user werden von uns entfernt und nur der lokale Admin überlassen. Das Passwort bewahrt wir auf.

Wer physikalischen Zugriff auf das System hat, kommt immer an die Daten auf dem Gerät, solange die Festplatten unverschlüsselt sind.
Mitglied: Coreknabe
Coreknabe 28.01.2016 um 10:24:29 Uhr
Goto Top
Moin,

mal ne blöde Frage, wieso hebst Du den PC nicht in die Domäne und konfigurierst ihn dann?

Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.
Dafür brauchst Du aber physikalischen Zugang zum Rechner. Ich habe mir sagen lassen, dass Angriffe auch remote erfolgen können... Sollte das stimmen, könnte ein 12345678-Passwort fahrlässig sein...

Gruß
Mitglied: geocast
geocast 28.01.2016 um 10:47:02 Uhr
Goto Top
Ja gut gäbe ich schon recht mit dem Remoteangriff. Wollte nur wissen ob ihr es trotzdem als Sinnvoll ansieht den Benutzer stehen zu lassen

Klar werden die PCs in der Domäne konfiguriert. Aber es gibt oft ein paar kleine Voreinstellungen die gemacht werden. Oder um den PC überhaupt in die Domäne aufzunehmen.
Mitglied: 121016
121016 28.01.2016 um 10:49:31 Uhr
Goto Top
Servus,

ich mache das im Prinzip so wie MichaelP08:
Wenn ein neuer Rechner kommt logge ich mich mit dem normalen Benutzer (heißt bei mir meistens "User") ein, aktiviere das lokale Admin-Konto, setze ein Passwort, deaktiviere den "User". Danach als lokaler Admin einloggen, in die Domäne einbinden, neu starten. Ab dann arbeite ich nur mehr mit meinem AD-Admin Konto.

Was (gerade bei jungen Admins) leider gerne gemacht wird: EIN Passwort für alle lokalen Admin Konten. Vermeide sowas bitte! Wenn ein User das mal mitbekommen sollte ist das Chaos perfekt. Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar face-smile )
Mitglied: DerWoWusste
DerWoWusste 28.01.2016 um 11:54:45 Uhr
Goto Top
Moin.

Wir nehmen bei manueller Einrichtung immer ein spezielles Konto (Firmenname) und dieses wird per GPO sofort gelöscht, wenn man der Domäne beitritt.
Mitglied: ArnoNymous
ArnoNymous 28.01.2016 um 11:55:00 Uhr
Goto Top
Zitat von @121016:

Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar face-smile )

Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.
Mitglied: 121016
121016 28.01.2016 aktualisiert um 11:58:38 Uhr
Goto Top
Zitat von @ArnoNymous:

Zitat von @121016:

Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar face-smile )

Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.

oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp face-smile
Mitglied: Chonta
Chonta 28.01.2016 um 12:19:10 Uhr
Goto Top
Hallo,

Das mit dem Starken Passwort scheint mir nur Unnötig, da es keine 5 Minuten braucht um dieses zu entfernen, dank genügender Tools.

stimmt.
Aber das Passwort sollte auch nicht innerhalb der Domäne verwendet werden.
Denn es ist in 2-4 Stunden möglich das Passwort der lokalen Benutzerzu entschlüsseln, wenn nun Domänenadmin und lokaler admin das selbe Passwort haben, blöd.

Den LAPS Ansatz schaue ich mir mal an, klingt sehr interesannt.

Gruß

Chonta
Mitglied: 117643
117643 28.01.2016 um 13:30:16 Uhr
Goto Top
Zitat von @121016:

Zitat von @ArnoNymous:

Zitat von @121016:

Von daher hat bei mir jedes lokale Adminkonto ein verschiedenes Passwort nach verschiedenen Mustern (bei ca 150 PC's noch überschaubar face-smile )

Dafür bietet sich LAPS (Local Administator Password Solution) von Microsoft an.
Damit wird für jeden PC ein eigenes lokales Adminkennwort generiert, regelmäßig erneuert und im AD hinterlegt.

oha! Kannte ich noch nicht... muss ich mir ansehen! Danke für den Tipp face-smile

Gleichmal bei uns in die Verbesserungsvorschläge aufgenommen face-smile Danke für den Tipp!
Mitglied: tomolpi
tomolpi 28.01.2016 um 14:02:09 Uhr
Goto Top
Hallo,

bei uns werden die per WDS installiert und während der Installation mit einem im AD hinterlegten "join-domain-user" ins AD gehoben, nach der Installation haben wir dann Service-Accounts für weitere Konfig.
Mitglied: VGem-e
VGem-e 28.01.2016 um 14:33:15 Uhr
Goto Top
Servus,

hierzu mal als (deutschsprachiges) Info:

http://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endli ...

Wichtig scheint aber der dort an letzter Stelle angebrachte Hinweis (tlw. Zitat):
...
Wichtig aber: LAPS legt die Admin-Kennwörter im Klartext im AD ab. Sie sind dann nur noch über die Zugriffsberechtigungen geschützt, die oben im Artikel erläutert sind. Wer LAPS einsetzt, muss also peinliche Sorgfalt darauf verwenden, die Berechtigungen richtig zu setzen.
...

Gruß
VGem-e
Mitglied: geocast
geocast 09.02.2016 um 10:45:27 Uhr
Goto Top
Vielen Dank für die Zahlreichen vorschläge. LAPS werde ich mir auch anschauen!

Es gibt doch auch mal Fälle, das man den PC aus der Domäne wieder entfernen muss. Wie geht ihr damit um, wenn der PC kein lokales Konto mehr hat. Dann kann man sich ja nicht mehr Anmelden?
Mitglied: DerWoWusste
DerWoWusste 09.02.2016 um 10:47:39 Uhr
Goto Top
Hi.

Wenn man ihn von der Domäne entfernen muss, aktiviert man zuvor den lokalen Administrator.
Wenn der Rechner die Vertrauensstellung zur Domäne bereits verloren hat, nimmt man Bootdisks und aktiviert den lokalen Admin auf diese Weise (Nordahl oder utilman).
Mitglied: ArnoNymous
ArnoNymous 09.02.2016 um 10:48:54 Uhr
Goto Top
Ein lokales Konto hat man immer. Den Adminstrator.
Bevor man den PC aus der Domäne nimmt, aktiviert man diesen Account und setzt das Passwort zurück, wenn man es nicht kennt, oder man erstellt einen neuen Benutzer mit Adminrechten.
Sollte man das vergessen, gibt es noch andere Mittel und Wege einen Benutzer zu aktivieren/erstellen. Mittels Boot-CD ect.