none
Jak přidat do všech PC v doméně lokálního administrátora

    Dotaz

  • Dobrý den,

    rozjel jsem na škole domain controler. Na PC jsem provedl migraci lokálních účtů do domény. Všechno se povedlo a funguje. Všiml jsem si, že po migraci se stal uživatel, kterého jsem migroval, součástí lokální skupiny administrators. Chtěl bych to změnit tak, ať žádný uživatel není členem skupiny administrators, ale na každém PC bude uživatel např. it-support se stejným heslem.

    Naspal jsem si  v PowerShellu script, ale nevím jak ho spustit na klientských PC. Zkoušel jsem pomocí Invoke-Command, ale nejde. Dočetl jsem se v jednom článku že pomocí Invoke... lze konfigurovat jen server a ne stanice - tak nevím. 

    Dál jsem zkoušel přes GPO nastavit vytvoření účtu, ale bohužel nejde (chyba CPassword - ten script co má MS je na můj vkus nečitelný a nechápu ho takže se neodvažuji spouštět https://support.microsoft.com/cs-cz/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati). Testoval jsem PSExec od sysyinternals, ale jeho rychlost teda spíše pomalost je otřesná.

    Potřebuji prostě na všech počítačích provést odebrání "lokálních uživatelů" z lokální adm. skupiny, vytvořit nového uživatele se členstvím v lokální admin. skupině.

    Nenašla by se nějaká dobrá duše, která by mi poradila jak spustit nebo vytvořit uživatele na všech PC v doméně?

    neděle 23. prosince 2018 21:25

Všechny reakce

  • Odpověď zní GPO  - restricted groups.

    Pokud máš povolený lokální účet "administrator" a chceš centrálně spravovat hesla, pak použij nástroj LAPS (Local Administrator Password Solution), viz https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396


    BB

    neděle 23. prosince 2018 22:22
  • Odpověď zní GPO  - restricted groups.

    Pokud máš povolený lokální účet "administrator" a chceš centrálně spravovat hesla, pak použij nástroj LAPS (Local Administrator Password Solution), viz https://technet.microsoft.com/en-us/mt227395.aspx?f=255&MSPPError=-2147217396


    BB

    Tak bohuzel toto reseni neni to prave. Heslo se generuje nahodne a jeho platnost resp. rgenerovani se provadi na zaklade stanoveneho pravidla v GPOa to v danem intervalu. V pripade kdy neni dostupne pc v domene a neni dostupny ani administrator tak neni cesta jak heslo zjistit. Pro kazde PC je heslo jedinecne coz je sice z pohledu bezpecnosti super, ale pro spravu PC v dane domene naprosto nepouzitelne. Efektivnejsi je silne heslo s logickou modifikaci per PC.

    Bohuzel prispevek je onacen jako reseni problemu ale to neni.

    pátek 4. ledna 2019 10:02
  • Samozřejmě, že je řešení použitelné. Sám ho používán ve všech sítích, které spravuji.

    Ke zjištění hesla není potřeba, aby stanice byla v danou chvíli dostupná v doméně. Hesla se ukládají do AD, zjistíš snadno odtud.


    BB

    pátek 4. ledna 2019 10:30
  • Děkuji za odpověď, ale každý očekáváme a máme jinou představu. Já chci jít cestou: odebrat z lokálních administrátorských skupin uživatele a přidat jednotného administrátora s jednotným heslem (modifikovaným určitou logikou pro každé pc). Jsem schopný přes GPO provést update hesla. Takže mi stačí přidat na každé pc uživatele a přidat ho do adm. skupiny. Při využívání LAPS mě vadí zjistitelnost hesla v plain textu. Zřejmě dochází k jeho ukládání pomocí zpětně rozšifrovatelného algoritmu místo hashe což je z hlediska bezpečnosti špatně.

    Nechci rozporovat strategii administrace ani bezpečnost, ale nevidím na mnou navrhovaném řešení nic závadného.

    Mimochodem toto je skutečně špatně error z vlákna

    • Upravený hnusozvuk pátek 4. ledna 2019 12:23
    pátek 4. ledna 2019 12:19
  • prepoklafam, ze heslo daneho lokalniho uctu meni nejaky startup script.

    Tak proc pres GPo preference nezalozis daneho lokalniho uzivatele a pres ty same preference nezmenis lokalni skupinu administrators, aby vypadala podle potreb?

    A kdyz uz jsme u te bezpecnosti a ohaneni se wiresharkem. Je opravdu lepsi menit heslo v GPO, kterou si muze precist kazdy = asi objevi ten script a je z nej schopen dekodovat konstrukci hesla?

    Nebo jsem neco pochopil spatne?

    pátek 4. ledna 2019 13:17
  • prepoklafam, ze heslo daneho lokalniho uctu meni nejaky startup script.

    Tak proc pres GPo preference nezalozis daneho lokalniho uzivatele a pres ty same preference nezmenis lokalni skupinu administrators, aby vypadala podle potreb?

    A kdyz uz jsme u te bezpecnosti a ohaneni se wiresharkem. Je opravdu lepsi menit heslo v GPO, kterou si muze precist kazdy = asi objevi ten script a je z nej schopen dekodovat konstrukci hesla?

    Nebo jsem neco pochopil spatne?

    Vsechno jsem chtel udelat scriptem, ve kterem jsem mel nagenerovane hesla a ucet. Bohuzel jsem neprisel na to jak spustit script na lokalnich pocitacich ze serveru. A to ne pri spusteni PC nebo podobne, ale kdyz vidim ze jsou vsechny PC aktivni tak spustim a script se postupne pripoji na vsechny pc, provede co ma - odebere vsechny uzivatele z lokalni skupiny administrators a zalozi noveho uzivatele, ktery bude clenem skupiny administrtors a nastavi mu heslo.

    Velice rad bych zalozil pres GPO uzivatele jenze jak? To je i ma otazka "Jak přidat do všech PC v doméně lokálního administrátora" Kdyz jsem chtel pres GPO pridat uzivatele narazil jsem na error ktery jsem uvedl v prvnim postu.

    Rozhodne nechci pridavat admin. ucet pres logon script a cekat nez se spusti na vsech PC a zaroven na odhaleni potencionalnim utocnikem. To je nesmysl.

    pátek 4. ledna 2019 13:46
  • Vzdaleny script treba pres psexec https://docs.microsoft.com/en-us/sysinternals/downloads/psexec.

    Nebo pres vzdaleny powershell  napr. https://www.howtogeek.com/117192/how-to-run-powershell-commands-on-remote-computers/

    Obe reseni musi mit nejak nastaveny lokalni firewall, nebo nastavene WinRM. to zajistis treba pres GPO.

    CMD scriptem vytvoris lokalni ucet i s heslem snadno: NET USER admin /add
    nastavis heslo NET USER admin Heslo123

    snadno nastavis lokalni skupinu administrators podle potreb = vyhazis vsechny cleny, pridas jen chtene.
    NET LOCALGROUP administrators Administrator /delete
    NET LOCALGROUP administrators admin /add

    Ale vypada to, ze vyrabis orloj :)


    pátek 4. ledna 2019 15:02
  • Panovi se zda, ze je to nebezpecne reseni, protoze zmena hesla se da odchytit wiresharkem. viz jeho link https://www.synergix.com/wp-content/uploads/wireshark-captures-laps-generated-password.png

    A proto vymysli orloj, ktery bude slozity a stejne deravy. Dalkove spousteni scriptu stejne odchytim jako v pripade LAPS.

    Ale kdo chce kam....

    A krome LAPS znovu se snazim nasmerovat na Restricted groups, ktere upravi lokalni skupinu Administrators podle potreby - odebere vsechny cleny a da tam jen vyjmenovane lokalni a domenove ucty/skupiny.


    pátek 4. ledna 2019 15:17
  • Právě proto jsem dal ten link. Jemu se nelíbí LAPS, ale chce měnit heslo pomocí GPO nebo skriptu . . .

    Přitom LAPS byl vymyšlen jako náhrada změny hesla pomocí GPO a bezpečnosti a složitosti toho skriptového řešení se raději ani nebavím.

    Jasně restricted groups. Ale podle mých zkušeností není od věci mít na stanici lokálního admina. Někdy se tam doménový admin nepřihlásí jak je rok dlouhý, pak je stanice mimo doménu, je třeba se přihlásit s admin oprávněním a ono nejsou nakešována žádná credentials.


    BB

    pátek 4. ledna 2019 15:54