none
lokalen Benutzer per GPO anlegen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Liebes Forum,

    gibt es eine Möglichkeit einen lokalen Benutzer per GPO anzulegen?
    Das Passwortfeld ist ausgegraut, somit wird der Benutzer nicht angelegt, weil das Kennwort den Kennwort Richtlinien nicht entspricht.

    Geht es also gar nicht, einen lokalen Benutzer per GPO anzulegen?

    Viele Grüße
    Davorin

    Mittwoch, 20. November 2019 16:11
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Tja, zu viel auf einmal gewollt...
    Es sollte der Erfolg mit Datum und Uhrzeit in einem Log-File angelegt werden, im NETLOGON Verzeichnis.
    Da darf "Local System" wohl nicht schreiben.
    Somit ist der gesamte Befehl:

    net user ernstl Passwort /add >> \\....\netlogon\user-add.log

    fehlgeschlagen, nicht nur das Schreiben in das Log-File.

    Wieder was gelernt :-)

    Mittwoch, 27. November 2019 08:52
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Moin Davorin,

    guckst Du hier: https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 20. November 2019 16:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Davorin,

    Eine Möglichkeit wäre auch ein PowerShell skript was als geplante Aufgabe einmalig ausgeführt wird. Das wäre aber eine ziemliche Bastellösung und ich würde von abraten. 

    Die Lösung von Evgenij wäre je nach Szenario auch möglich.

    Wenn es um einen Lokalen Administrator oder einen zusätzlichen Serviceaccount geht, schau dir mal LAPS an.

    Schau mal hier: https://www.infrastrukturhelden.de/microsoft-infrastruktur/microsoft-windows/server/local-administrator-password-solution-laps/

    Wenn es um Service Accounts oder ähnliches geht, kann man da eventuell auch was mit LAPS machen. Schau mal hier: https://www.infrastrukturhelden.de/microsoft-infrastruktur/microsoft-windows/powershell-skripte-mit-local-administrator-password-solution-laps-nutzen-und-auditieren/

    Mehr Tipps könnte ich geben, wenn ich genauer wüsste worum es geht.

    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own


    Mittwoch, 20. November 2019 20:45
    |
  • Question
    Anmelden
    0
    Anmelden

    Die Lösung von Evgenij wäre je nach Szenario auch möglich.

    Das war aber keine Lösung, sondern lediglich eine Bestätigung, dass es mit GPP nicht mehr geht ;-)

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Mittwoch, 20. November 2019 21:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Wir wollen den lokalen Administrator deaktivieren und dafür einen anderen lokalen User anlegen, der dann mit lokalen Adminrechten ausgestattet und dessen Kennwort mit LAPS verwaltet wird.
    Mit LAPS kann man ja nur das Kennwort verwalten, keine Benutzer anlegen.
    Donnerstag, 21. November 2019 06:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin,

    dann halt per Skript und dieses nach Möglichkeit nicht mit dem lokalen Task Scheduler auslösen, sondern mit der vorhandenen Software-Verteilung (falls vorhanden) oder per Startup-Skript in der GPO oder halt remote, falls es Zeiten gibt, zu denen alle betroffenen Rechner garantiert online sind.

    Evgenij Smirnov

    http://evgenij.smirnov.de

    Donnerstag, 21. November 2019 07:33
    |
  • Question
    Anmelden
    0
    Anmelden
    dann halt per Skript und dieses nach Möglichkeit nicht mit dem lokalen Task Scheduler auslösen, sondern mit der vorhandenen Software-Verteilung (falls vorhanden) oder per Startup-Skript in der GPO oder halt remote, falls es Zeiten gibt, zu denen alle betroffenen Rechner garantiert online sind.
    Ich sagte ja, zur Not. Per Softwareverteilung ist auch gut. Ich mache So etwas normalerweise mit Remote Powershell.

    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Donnerstag, 21. November 2019 15:49
    |
  • Question
    Anmelden
    0
    Anmelden

    Wie installiert ihr den die Systeme oder nehmt ihr die Hersteller installation? Sonst könnte man den beim betanken anlegen, zum Beispiel wenn ihr die mit MDT betankt.

    Alternativ, wenn es euch nur um den Usernamen "Administrator" geht, den könnt ihr auch mit einer GPO umbenennen. Und dann mit LAPS versorgen.

    Viele Grüße
    Fabian Niesen
    ---
    Infrastrukturhelden.de
    LinkedIn - Xing - Twitter
    #Iwork4Dell - Opinions and Posts are my own

    Donnerstag, 21. November 2019 15:53
    |
  • Question
    Anmelden
    0
    Anmelden

    Moin Evgenij,

    leider klappt es nicht mit einem Computer-Logon-Script.
    eigentlich sollte "Local System" doch ausreichend Rechte haben, um einen Benutzer anzulegen.
    Selbst wenn ich als lokaler Administrator das Script lokal kopiere und lokal ausführe, erhalte ich "Systemfehler 5: Zugriff verweigert".
    Nur wenn ich das Script "Als Administrator" ausführe, wird der Benutzer angelegt.

    Wie kann ich erreichen, dass das Computer-Logon-Script mit lokalen Admin-Rechten ausgeführt wird?

    Mittwoch, 27. November 2019 07:38
    |
  • Question
    Anmelden
    0
    Anmelden

    Ja, können wir beim Betanken anlegen, aber nicht bei den 80 Clients, die schon betankt sind ;-)

    Und umbenennen ändert nicht die SSID.

    Wir wollen ja verhindern, dass das generische Administrator-Konto angegriffen wird, sei es über den Namen "Administrator", oder über die SSID.

    Mittwoch, 27. November 2019 08:25
    |
  • Question
    Anmelden
    0
    Anmelden

    Tja, zu viel auf einmal gewollt...
    Es sollte der Erfolg mit Datum und Uhrzeit in einem Log-File angelegt werden, im NETLOGON Verzeichnis.
    Da darf "Local System" wohl nicht schreiben.
    Somit ist der gesamte Befehl:

    net user ernstl Passwort /add >> \\....\netlogon\user-add.log

    fehlgeschlagen, nicht nur das Schreiben in das Log-File.

    Wieder was gelernt :-)

    Mittwoch, 27. November 2019 08:52
    |
  • Question
    Anmelden
    0
    Anmelden
    "Computer" wäre Startup-Skript, nicht Logon... Wenn UAC aktiviert ist, muß auch ein lokaler Admin Prozesse explizit als Admin starten, damit er wirklich "Admin" ist. Und überall, wo geschrieben werden soll, müssen auch Schreibrechte vorhanden sein. Und die vergibt man dann für Domain Computers oder authentifizierte Benutzer, wo erforderlich.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 27. November 2019 12:54
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    Den Angriff kannst Du nicht verhindern - im abgesicherten Modus ist das integrierte Admin-Konto aktiviert. Besser: LAPS.

    Greetings/Grüße, Martin - https://mvp.microsoft.com/en-us/PublicProfile/5000017 Mal ein gutes Buch über GPOs lesen? - http://www.amazon.de/Windows-Server-2012--8-Gruppenrichtlinien/dp/3866456956 Good or bad GPOs? My blog - http://evilgpo.blogspot.com And if IT bothers me? Coke bottle design refreshment - http://sdrv.ms/14t35cq

    Mittwoch, 27. November 2019 12:55
    |
    Beantworter