Remoteverwaltung lokaler Adminkonten
Hallo zusammen,
ich habe folgende Aufgabenstellung bekommen, leider weiß ich noch nicht so recht, wie sich das realisieren lässt:
Kurz zur Ausgangslage: Wir haben eine zentralen Standort an dem sich alle Server und die Verwaltung befinden. Daran sind via VPN diverse Filialen angeschlossen, an denen eigentlich ausschließlich Windows 7-ThinClients verwendet werden. Die Benutzer starten dort eine WTS-Sitzung auf der zentralen Serverfarm.
Auf diesen Clients soll das voreingerichtete lokale Admin-Konto deaktiviert werden und ein anderes Konto mit Adminrechten und einem entsprechend starken Kennwort erstellt werden.
Damit dies nicht lokal vor Ort geschehen muss, hätte mein Chef gern ein PowerShell-Skript von mir, das die Deaktivierung und Neueinrichtung übernehmen kann. Nur leider kenne ich mich damit überhaupt nicht aus...
Weiß hier jemand Rat, bzw ist sowas überhaupt realisierbar?
MfG und Dank vorab, KidChino
ich habe folgende Aufgabenstellung bekommen, leider weiß ich noch nicht so recht, wie sich das realisieren lässt:
Kurz zur Ausgangslage: Wir haben eine zentralen Standort an dem sich alle Server und die Verwaltung befinden. Daran sind via VPN diverse Filialen angeschlossen, an denen eigentlich ausschließlich Windows 7-ThinClients verwendet werden. Die Benutzer starten dort eine WTS-Sitzung auf der zentralen Serverfarm.
Auf diesen Clients soll das voreingerichtete lokale Admin-Konto deaktiviert werden und ein anderes Konto mit Adminrechten und einem entsprechend starken Kennwort erstellt werden.
Damit dies nicht lokal vor Ort geschehen muss, hätte mein Chef gern ein PowerShell-Skript von mir, das die Deaktivierung und Neueinrichtung übernehmen kann. Nur leider kenne ich mich damit überhaupt nicht aus...
Weiß hier jemand Rat, bzw ist sowas überhaupt realisierbar?
MfG und Dank vorab, KidChino
Please also mark the comments that contributed to the solution of the article
Content-Key: 343036
Url: https://administrator.de/contentid/343036
Printed on: May 11, 2024 at 04:05 o'clock
13 Comments
Latest comment
Lies mal Sicherer Umgang mit Supportkonten
Also ohne den Link komplett gelesen zu haben. (Sorry dafür)
Es gibt dafür eine GPO die dir alle Admins auf einem Client löscht und nach deiner Vorgabe neue Anlegt. Ist vielleicht nicht ganz so sicher wie die beschreibende Script Lösung aber für viele ausreichend. Voraussetzung ist natürlich das es sich überall um Domain Clients handelt.
Ist irgendwo unter Sicherheitseinstellungen.
Es gibt dafür eine GPO die dir alle Admins auf einem Client löscht und nach deiner Vorgabe neue Anlegt. Ist vielleicht nicht ganz so sicher wie die beschreibende Script Lösung aber für viele ausreichend. Voraussetzung ist natürlich das es sich überall um Domain Clients handelt.
Ist irgendwo unter Sicherheitseinstellungen.
@UnbekannterNR1
Nein, eine solche GPO, die neue Admins anlegt, gibt es nicht mehr. Es war ein Sicherheitsrisiko und das wurde weggepatcht.
Nein, eine solche GPO, die neue Admins anlegt, gibt es nicht mehr. Es war ein Sicherheitsrisiko und das wurde weggepatcht.
Oh Okay, das wusste ich nicht. Ich bin dann wohl auf einem alten Stand.
Ich habe hier eine 2008R2 Domain mit Win7 Clients.
Und ich meinte unter Computerkonfiguration -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Kann man die Gruppe Administration (Integriert) Aktualisieren und dabei gleich alle Mitglieder löschen.
Ab wann geht das denn nicht mehr?
Ich habe hier eine 2008R2 Domain mit Win7 Clients.
Und ich meinte unter Computerkonfiguration -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen
Kann man die Gruppe Administration (Integriert) Aktualisieren und dabei gleich alle Mitglieder löschen.
Ab wann geht das denn nicht mehr?
Moin,
Gruß,
Dani
Der Patch war von 2013 oder 2015? bin gerade unsicher.
nicht ganz.. Jahr 2014, MS14-025.Gruß,
Dani
Joa, wer sich LAPS antun will... es sind lokale Konten. Dann administriere/supporte mal mit denen, wenn Du noch nicht einmal das lokale Netzwerk nutzen kannst. Wer dann vorbringt, man könne doch dazu wieder mit runas Credentials eines Domänennutzers angeben, hat dann auch wieder andere Probleme. Ich würde meine Lösung LAPS ganz klar vorziehen.
LAPS nutzt den lokalen eingebauten Admin "Administrator". Wofür sollte man den denn nutzen wollen in einem Netzwerk? Lokale Einstellungen ändern, ja. USB-Stick einschieben und was installieren, klar, das geht auch. Auch kannst Du mit dem Domänenkonto ein Setup rüberkopieren und es dann als lokaler Admin starten, ja. Aber es ist doch weitaus komfortabler, wenn das Adminkonto selbst schon auf Domänenressourcen zugreifen kann, wie in meiner Lösung.