4
Gruppenrichtlinie mit externem PC verwalten
Guten Tag liebe Leute,
Ich suche gerade nach einer Möglichkeit die Gruppenrichlinie von einem externen, Domainfremden PC aus zu verwalten.
Hintergrund ist ganz einfach, dass ich im Notdienst am Wochenende z.B. die Zeit die ich eh vorm PC hänge sinnvoll nutzen und auch etwas sinnvolles tun will :D
Da wir ein kleiner Dienstleister für mehrere Firmen sind ist das Einbuchen in einzelne Domains zur Verwaltung der GPO nicht sinnvoll und ich suche einen Weg wie ich von meinem normalen Win 10 PC aus die GPO in mehreren Firmen managen kann.
Ich habe bereits folgendes Script ausgemacht welches ganz gut Funktioniert:
runas /netonly /user:Domäne\Nutzername “mmc dsa.msc /server=DC“
Leider jedoch nicht für die GPO. Hier kommt immer die Meldung, dass ich mich am PC mit einem Domainkonto anmelden soll. Dies ist aus genannten Gründen jedoch zu umständlich.
Übersehe ich hier etwas? Oder hat jemand vielleicht eine bessere, effektivere lösung für das ganze?
Grüße euer Kloppi
Ich suche gerade nach einer Möglichkeit die Gruppenrichlinie von einem externen, Domainfremden PC aus zu verwalten.
Hintergrund ist ganz einfach, dass ich im Notdienst am Wochenende z.B. die Zeit die ich eh vorm PC hänge sinnvoll nutzen und auch etwas sinnvolles tun will :D
Da wir ein kleiner Dienstleister für mehrere Firmen sind ist das Einbuchen in einzelne Domains zur Verwaltung der GPO nicht sinnvoll und ich suche einen Weg wie ich von meinem normalen Win 10 PC aus die GPO in mehreren Firmen managen kann.
Ich habe bereits folgendes Script ausgemacht welches ganz gut Funktioniert:
runas /netonly /user:Domäne\Nutzername “mmc dsa.msc /server=DC“
Leider jedoch nicht für die GPO. Hier kommt immer die Meldung, dass ich mich am PC mit einem Domainkonto anmelden soll. Dies ist aus genannten Gründen jedoch zu umständlich.
Übersehe ich hier etwas? Oder hat jemand vielleicht eine bessere, effektivere lösung für das ganze?
Grüße euer Kloppi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 525641
Url: https://administrator.de/contentid/525641
Printed on: April 20, 2024 at 04:04 o'clock
4 Comments
Latest comment
Moin,
Oder habt ihr den Port 389 in der Firewall geöffnet, sodass jeder Hans und Franz mit eine BruteForce-Attacke sich gegen den DomAdmin versuchen kann, anzumelden?
Wenn dem so ist, wäret ihr zumindest nicht mehr mein Dienstleister
Gruß
em-pie
Zitat von @Kloppi:
Guten Tag liebe Leute,
Ich suche gerade nach einer Möglichkeit die Gruppenrichlinie von einem externen, Domainfremden PC aus zu verwalten.
Wozu?Guten Tag liebe Leute,
Ich suche gerade nach einer Möglichkeit die Gruppenrichlinie von einem externen, Domainfremden PC aus zu verwalten.
Da wir ein kleiner Dienstleister für mehrere Firmen sind ist das Einbuchen in einzelne Domains zur Verwaltung der GPO nicht sinnvoll und ich suche einen Weg wie ich von meinem normalen Win 10 PC aus die GPO in mehreren Firmen managen kann.
Das geht ganz einfach:- VPN-Tunnel aufbauen (das musst du ja ohnehin machen)
- per mstsc (/admin) am DC anmelden
- die entsprechende MMC öffnen
- GPOs setzen
- testen
- am DC ausloggen
- VPN-Tunnel trennen
- auf zum nächsten Kunden...
Oder habt ihr den Port 389 in der Firewall geöffnet, sodass jeder Hans und Franz mit eine BruteForce-Attacke sich gegen den DomAdmin versuchen kann, anzumelden?
Wenn dem so ist, wäret ihr zumindest nicht mehr mein Dienstleister
Gruß
em-pie
Aua, Frage ist doch, warum man als "IT-Dienstleister" nicht selbst weiß welche Voraussetzungen hierfür nötig sind, Stichwort TrustedHosts usw. das sind doch absolute Basics in einer Windows Domain 🙃?!
Au Back,
Ich weis was ich vergessen habe. Entschuldigt die verwirrung.
Bei einer Normalen Windows Server Umgebung wäre das natürlich alles kein problem richtig.
Ich hatte vergessen zu erwähnen, dass wir uns eher auf kleine Unternehmen spezialisiert haben und diesen kostengünstige Lösungen anbieten wollen und daher alles auf Samba-Basis läuft. So sachen wie RDP oder ähnliches fallen deswegen raus, da es auch keine richtige Serveroberfläche gibt. Ports sind keine geöffnet. Es läuft natürlich alles über VPN ;)
Ich weis was ich vergessen habe. Entschuldigt die verwirrung.
Bei einer Normalen Windows Server Umgebung wäre das natürlich alles kein problem richtig.
Ich hatte vergessen zu erwähnen, dass wir uns eher auf kleine Unternehmen spezialisiert haben und diesen kostengünstige Lösungen anbieten wollen und daher alles auf Samba-Basis läuft. So sachen wie RDP oder ähnliches fallen deswegen raus, da es auch keine richtige Serveroberfläche gibt. Ports sind keine geöffnet. Es läuft natürlich alles über VPN ;)
- VPN-Tunnel aufbauen
- Verbindung zu \\dc\netlogon mit Admin-Konto herstellen (z.B. mittels "net use \\dc\netlogon /user:domäne\administrator")
- mmc starten
- AD- oder GPO-Snapin starten
- Plugin mit diesem DC verbinden
- administrieren
E.
Edit:
"runas" fällt hier aus, weil es ja keine Vertrauensstellung zwischen diesem PC un der Zieldomäne gibt.
