Januar 14

0 comments

Lokaler Admin Intune: So einfach geht es!

Autor: Aaron Siller

Januar 14, 2021


Lokaler Admin Intune: Kunden fragen mich häufiger, ob es möglich ist mit Microsoft Intune einen lokalen Administrator Account auf Windows Geräten auszurollen.

Die Antwort dazu: Ja, diese Möglichkeit besteht, aber man sollte sich des Risikos bewusst sein.

Microsoft-Intune-Logo

Lokaler Admin Intune - Wozu ein lokaler Administrator?

Trotz zahlreicher Verwaltungsmöglichkeiten im Intune und der Verwendung von Administratoren aus dem Azure Active Directory, möchten viele Unternehmen gerne auch einen rein lokalen Admin-Account haben. 

Mitunter möchte Unternehmen diesen Account auch als Notfallzugriff haben, sollte der Benutzerzugriff oder Login über das Azure AD nicht mehr zur Verfügung stehen.


Fragezeichen
Datendieb

Welches Risiko besteht?

Bei der Erstellung eines solchen Accounts sollte man bedenken, dass man einen Account mit dem selben Benutzernamen und Password auf allen Geräten zur Verfügung stellt. 

Sind diese Zugangsdaten somit einmal in den falschen Händen, ist die Sicherheit auf keinem der Windows Clients mehr gegeben.


Lokaler Admin Intune: Wie richte ich einen lokalen Administrator ein?

Es gibt mehrere Wege einen lokalen Administrator-Account einzurichten.

Ein recht häufig verwendete Möglichkeit ist dies über OMA-URI im Intune abzubilden. Der Nachteil hierbei ist allerdings, dass beim ersten Login mit dem Admin-Account das Passwort geändert werden muss. Hier muss man dann entweder gemeinschaftlich festgelegt haben, welches zukünftige Passwort verwendet wird oder aber alles wird in einer langen Liste auf Speicherort abgelegt. Beides natürlich nicht wirklich optimal.

Aufgrund dessen präferiere ich den Weg über ein PowerShell Skript zu gehen. Hiermit umgehen wir die Passwort-Problematik.

Das Skript kann über Devices > Scripts eingebunden werden:

Lokaler Admin Intune PowerShell-Intune

Dort wählen wir dann die Windows 10 Option aus:

Lokaler Admin Intune Erstellung-Skript

Dort binden wir ein Skript ein, welches folgenden Inhalt hat:

$Username = "MeinAdmin"
$Password = "MeinPasswort"

$group = "Administratoren"

$adsi = [ADSI]"WinNT://$env:COMPUTERNAME"
$existing = $adsi.Children | where {$_.SchemaClassName -eq 'user' -and $_.Name -eq $Username }

if ($existing -eq $null) {

Write-Host "Creating new local user $Username."
& NET USER $Username $Password /add /y /expires:never

Write-Host "Adding local user $Username to $group."
& NET LOCALGROUP $group $Username /add

}
else {
Write-Host "Setting password for existing local user $Username."
$existing.SetPassword($Password)
}

Write-Host "Ensuring password for $Username never expires."
& WMIC USERACCOUNT WHERE "Name='$Username'" SET PasswordExpires=FALSE

WICHTIG: Der Benutzername und das Passwort muss noch entsprechend geändert werden!


Danach wird ein Name und optional eine Beschreibung für das Skript eingetragen:

Lokaler Admin Intune PowerShell-Intune-Beschreibung

Bei den Einstellungen sollten wir das 64 bit PowerShell Host aktivieren:

Lokaler Admin Intune Skript-Einbinden

Im letzten Schritt weisen wir dies noch unseren Geräten zu und speichern es entsprechend ab:

Skript-Zuweisung

Wie sieht das Ergebnis aus?

Nach einer gewissen Synchronisierungsdauer wird uns der Administrator bei den lokalen Benutzern (einzusehen über Windows+R und lusrmgr.msc) im Windows 10 Client angezeigt. Dort sehen wir dann auch, dass der Benutzer Mitglied der Admin-Gruppe ist. In meinem Fall habe ich den lokalen Admin "Legionista" genannt:

Eigenschaften-Admin-Account
Gruppen-lokaler-Administrator
Nicht verpassen! Es gibt jetzt die Teams-Academy

Wir begleiten dich auf dem Weg zu Bestleistungen im Homeoffice und Büro

Teams Academy

Aaron Siller

Über den Autor

Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>