AD-Benutzer dem lokalen Admin-Konto hinzufügen

16. März 2018

Administratoren können meistens ein Lied davon singen: Die Benutzer wünschen sich höhere Berechtigungen für „ihr“ Desktop- oder Notebook-System, denn sie „müssen ja“ diese oder jene Software eigenständig installieren oder verwalten, und bestimmte Systemänderungen durchführen, ohne jedes Mal der IT-Abteilung Bescheid geben zu müssen. Sprich es werden mehr Berechtigungen verlangt, als dem Benutzern über das Active Directory genehmigt werden.

Nun können die Mitarbeiter in den Fachabteilungen nicht einfach über das Active Directory (AD) „hochgestuft“ werden, denn auf diese Weise werden größere Lücken im Security-Konzept des gesamten IT-Systems aufgerissen. Somit behalten die „normalen“ Benutzer auch ihre „normalen“ AD-Berechtigungen.

Dennoch machen bestimmte Gegebenheiten und Unternehmensrichtlinien eine Heraufstufung der Berechtigungen für manche Mitarbeiter nötig. Für derartige Fälle setzen die Systembetreuer oftmals auf das „Lokale Administratorkonto“. Werden die Benutzer der lokalen Admin-Gruppe hinzugefügt, können diese Software installieren und entsprechende Systemänderungen selbst durchführen.

Auf der Serverseite kann für die Systembetreuer ebenfalls sinnvoll sein, bestimmte Benutzerkonten mit lokalen Administrator-Privilegien auszustatten, das ist etwa wichtig, falls die Server bei einem Ausfall keine Verbindung mehr zum Ad herstellen können, und keine Anmeldung möglich ist (etwa, weil sich keine gecachten Anmeldeinformationen für einen Admin-Account auf dem Server befinden). Zudem sollten die Systembetreuer darauf achten, bei jedem System über einen „Notfall-Account“ zu verfügen, um sich bei Problemen mit dem AD-Konten oder dem primären lokalen Admin-Account Probleme geben sollte.

Derartige Aufgaben lassen sich zum einen in der grafischen Benutzeroberfläche lösen (GUI), zum anderen können die Systembetreuer auch auf passende Skripting-Werkzeuge zurückgreifen. Besonders die Powershell macht dabei eine „gute Figur“, – passende Skripts vorausgesetzt. Denn damit lassen sich AD-Benutzer (oder auch lokale Accounts) schnell und einfach der Gruppe der lokalen Administratoren hinzufügen. Hier sollten die Systembetreuer einen Blick auf das Skript von Jaap Brasser werfen: „Set-ADAccountasLocalAdministrator.ps1

Das Skript steht auf der entsprechenden Technet-Seite zum Download bereit, an dieser Stelle finden die Systembetreuer auch eine Kurzbeschreibung, beispielsweise lassen sich die jeweiligen Benutzeraccounts manuell eingeben, oder auch im Form einer Textdatei zur Verfügung stellen.

Florian Huttenloher

 

 

 

Lesen Sie auch