none
lokale Administrator Accounts auf Clients RRS feed

  • Frage

  • Hallo zusammen,

    wir haben in unseren Unternehmen folgendes vor:

    Wir möchten unsere Office Clients mit einem Image ausstatten.

    im Image sollte ein eigenes (jeweilig lokal) Administratorkonto eingebettet werden, damit man als Supporter ggf. auch administrative Tätigkeiten ausführen kann (auch wenn der Client mal nicht mit der Domain verbunden ist)

    Das ist ja alles soweit kein großes Problem. Allerdings kann man ja bekanntlich im Windows das (per Default) versteckte oder ausgeblendete Built-In Adminkonto per cmd aktivieren (administrator /active:yes)

    wie kann ich das unterbinden sodass der "Standard User" nicht einfach den Built-In Administrator über cmd aktivieren kann?

    Klar könnte ich den Standardusern den generellen Zugriff auf cmd untersagen (per GPO), macht aber keinen Sinn, da die "normalen Standard" User trotzdem auf cmd zugreifen können sollen (zur Ausführung anderer Befehle).

    Gibt es irgendwie eine Möglichkeit für die User nur gewisse cmdlets zu verbieten?

    Hat jemand von euch eine Idee.

    Vielen Dank

    LG

    Freitag, 20. September 2019 18:32

Alle Antworten

  • Moin,

    das ist alles etwas bunt. 

    1. dass ein normaler user das Administratorkonto, welches per GPO deaktiviert wurde, aktivieren kann, ist mir neu (hab's gerade getestet, geht nicht. Wenn es bei Dir geht, haben die User zuviele Rechte).
    2. Für die Verwaltung lokaler Admin-Kennwörter in einer AD-Umgebung nimmt man LAPS. EDIT: Da kannst Du auch festlegen, ob Du das Built-In-Konto bearbeitest oder ein eigenes.
    3. Gewisse Befehle verbieten: UAC nicht ausschalten ;-) Dann sind sie zwar nicht verboten, fordern aber einen Elevated Token an, und mit dem kann der Normaluser nicht dienen.
    4. Gewisse Programme verbieten: AppLocker Policies.


    Evgenij Smirnov

    http://evgenij.smirnov.de


    Freitag, 20. September 2019 18:56