Hallo
Ich such eine Möglichkeit, wie ich einen User der sich in der Lokale Admin Gruppe befindet über ein CC wieder zu entfernen.
Mega würde auch ein CC sein wo man einen User zum Lokalen Admin eine Clients machen kann und auch jeder Zeit wieder entfernen kann.
Der Hintergrund ist das ich einen User zu Admin machen kann damit er eigenständig Software Installieren kann für kurze Zeit.
Aber so das ich auch die Möglichkeit habe ihn jeder Zeit wieder aus der Gruppe zu entfernen.
Bin nun jetzt nicht so der CC Profi und habe auch noch keine Möglichkeit das über ACMP zu steuern gefunden.
Vielleicht kann mir ja jemand helfen.
Danke
Sascha
User aus Lokale Admin Gruppe entfernen
Hallo Sascha,
in den Befehlen im CC gibt es unter "Usermanagement" die Befehle "Assign local user to local groups" bzw für Domänenaccounts "assign members to a local group".
Als User musst du dort ggf. die Schreibweise domäne\account verwenden. Den findest du in der ACMP-Variablen %LOGGEDONUSER_FULLNAME%.
Dann musst du den Befehl unter "Allgemein" in den "Ausführungsoptionen", "Ausführen als", nicht "als Dienst", sondern "als Benutzer" ausführen.
Ich hoffe ich habe dir damit die richtige Richtung gezeigt.
Viele Grüße
Hans-Dieter
in den Befehlen im CC gibt es unter "Usermanagement" die Befehle "Assign local user to local groups" bzw für Domänenaccounts "assign members to a local group".
Als User musst du dort ggf. die Schreibweise domäne\account verwenden. Den findest du in der ACMP-Variablen %LOGGEDONUSER_FULLNAME%.
Dann musst du den Befehl unter "Allgemein" in den "Ausführungsoptionen", "Ausführen als", nicht "als Dienst", sondern "als Benutzer" ausführen.
Ich hoffe ich habe dir damit die richtige Richtung gezeigt.
Viele Grüße
Hans-Dieter
Hans-Dieter Tewes
Ruhr-Universität Bochum
IT.SERVICES
Universitätsstraße 150
44801 Bochum
Tel.: +49 (0)234 / 32-2 80 98
[mailto=]hans-dieter.tewes@ruhr-uni-bochum.de[/mailto]
Ruhr-Universität Bochum
IT.SERVICES
Universitätsstraße 150
44801 Bochum
Tel.: +49 (0)234 / 32-2 80 98
[mailto=]hans-dieter.tewes@ruhr-uni-bochum.de[/mailto]
Der Benutzer dürfte aber nicht die Berechtigung haben sich selbst in die Gruppe Admin zu packen, daher könnte "als Benutzer" scheitern. "als Dienst" müsste funktionieren, da dann die Variable auch korrekt mit dem eingeloggten Nutzer gesetzt ist, wenn ich mich richtig erinnere.
Marcel
Für das Entfernen aus der Administratoren-Gruppe nutzen wir PowerShell. Man muss nur aufpassen, wenn man nicht-deutsche Windows-Versionen hat, weil dann die Gruppe anders heisst.
LOGGEDONUSER_FULLNAME habe ich aber nicht probiert, sondern hier nur reingeschrieben. Wir nutzen einen anderen Mechanismus. (Das poste ich gleich mal als gesonderte Antwort.)
Marcel
LOGGEDONUSER_FULLNAME habe ich aber nicht probiert, sondern hier nur reingeschrieben. Wir nutzen einen anderen Mechanismus. (Das poste ich gleich mal als gesonderte Antwort.)
Code: Alles auswählen
$localAdminUser = "%LOGGEDONUSER_FULLNAME%"
try {
Remove-LocalGroupMember -Group "Administratoren" -Member $localAdminUser -ErrorAction Stop
Write-Host "Benutzer $localAdminUser aus der Gruppe Administratoren entfernt."
}
Catch [Microsoft.PowerShell.Commands.MemberNotFoundException] {
Write-Host "Benutzer $localAdminUser ist kein lokaler Administrator."
}
Catch [Microsoft.PowerShell.Commands.PrincipalNotFoundException] {
Write-Host "Benutzer $localAdminUser existiert nicht."
}
Catch {
Write-Host "Fehler beim Entfernen des Benutzers $localAdminUser aus der Gruppe Administratoren."
Write-Host $_.Exception.GetType().FullName
Write-Host $_.Exception.Message
exit 1
}
Wir haben bei unseren Entwicklern ähnliche Probleme gehabt und haben uns für einen zusätzlichen lokalen Admin entschieden, den sich die freigegebenen Benutzer selbst einrichten können.Saschat hat geschrieben: ↑Fr Aug 25, 2023 12:04 pm Mega würde auch ein CC sein wo man einen User zum Lokalen Admin eine Clients machen kann und auch jeder Zeit wieder entfernen kann.
Der Hintergrund ist das ich einen User zu Admin machen kann damit er eigenständig Software Installieren kann für kurze Zeit.
Das ganze funktioniert über eine benutzerdefiniertes Status-Feld am Client-Objekt und ein Client-Command, was die Nutzer über den Kiosk starten können.
Ein weiteres CC rennt regelmäßig über alle Clients und entfernt den Adminnutzer wieder, sofern die Berechtigung im benutzerdefinierten Feld am Client-Objekt entfernt wurde.
Die Lösung hat für uns den Vorteil, dass die Nutzer nie mit Adminrechten arbeiten. Wir setzen dies jetzt so seit 2020 ein und haben damit keinerlei Probleme.
Bisher kam auch jede SW bei der Installation damit klar. Dank UAC fragt Windows automatisch nach Benutzername und PW.
Ich kann das CC leider nicht so einfach hochladen, da dort Unternehmensinformationen und -bilder integriert sind.
Bei Bedarf kann ich die Lösung aber sicher mal bereinigt zur Verfügung stellen.
Marcel
Hallo Marcel
Wir stehen vor dem selben Problem wie Sascha oben geschrieben hat,
das CC was Ihr da gemacht hab hört sich echt super an... Vielleicht kann du das CC ja bereitstellen (wenn du die Erlaubnis hast) das wäre echt super
Gruß
Mario
Wir stehen vor dem selben Problem wie Sascha oben geschrieben hat,
das CC was Ihr da gemacht hab hört sich echt super an... Vielleicht kann du das CC ja bereitstellen (wenn du die Erlaubnis hast) das wäre echt super
Gruß
Mario
Hallo Marcel,
ich hätte auch Interesse an den CC's.
Wir haben dieselbe Thematik hier. Im Moment geben wir den Entwicklern das LAPS PW und lassen immer direkt nach Verwendung des PW ein neues generieren, aber das muss per Hand gemacht werden.
Ein Automation, die der User selber triggern kann, wäre super.
Grüße
Tom
ich hätte auch Interesse an den CC's.
Wir haben dieselbe Thematik hier. Im Moment geben wir den Entwicklern das LAPS PW und lassen immer direkt nach Verwendung des PW ein neues generieren, aber das muss per Hand gemacht werden.
Ein Automation, die der User selber triggern kann, wäre super.
Grüße
Tom