Wird ein Computer mit Intune installiert, ist der Primäre Benutzer (der erste der sich anmeldet) automatisch auch ein Local Admin.
Im Unternehmensumfeld ist das für die BYOD (Bring your own Device) ok. Wenn es sich um Computer vom Unternehmen handelt, sollte der Local Admin eher nicht permanent zugeteilt sein.
Im Intune (Endpoint Manager) / Geräte / Alle Geräte kann der betroffenen Computer ausgewählt werden. In den Eigenschaften des Gerätes kann der Primäre Benutzer geändert oder gelöscht werden.
Achtung:
Dadurch entfernen eines Users als Primärer Benutzer, wird dieser User NICHT aus der lokalen Administratoren Gruppe entfernt. Er hat weiterhin Local Admin Rechte.
Man kann den Benutzer als „Primären Benutzer“ stehen lassen, womit man in der Intune Verwaltung sieht wem der Computer zugeteilt wurde. Bevor der Computer an den Anwender übergeben wird, sollte dieser Benutzer aus der Gruppe Administratoren entfernt werden, damit er keine Local Admin Rechte mehr hat. Das kann jederzeit erfolgen.
Vorgehen um den Anwender aus der Administratoren Gruppe zu entfernen:
- Windows 11 / Computerverwaltung / System / Lokale Benutzer und Gruppen / Gruppen öffnen.
- Prüfen ob der User „LAPS“ vorhanden ist. Mit diesem von Intune erzeugten User ist Local Admin Zugriff weiterhin möglich.
- Den betroffenen Benutzer entfernen. Das kann etwa so aussehen für den User Susanne. „AzureAD\Susanne“. Nach einem Neustart des Computers hat dieser User keine Local Admin Rechte mehr.
Rechte zum Installieren oder ändern des Systems temporär vergeben
Sollte der Benutzer etwas installieren müssen/wollen oder wird aus anderen Gründen aufgefordert mit administrativen Rechten weiter zu fahren, gibt es verschiedene Wege.
Soll der Benutzer das selber erledigen, kann ihm das LAPS Passwort aushändigt werden, damit hat er für die in der Richtlinie eingestellte Zeit mit dem Account „.\LAPS“ lokale Administrationsrechte hat und die Installation durchführen kann. In der Richtlinie für LAPS sollte eine Gültigkeitsdauer festgelegt werden, zb. 24h. Die Frist beginnt mit der ersten Anwendung des Passworts (nicht mit der Aushändigung) und nach Ablauf dieser wird der Computer zu einem Neustart gezwungen. Das Passwort wird dann automatisch neu gesetzt.
Alternativ kann ein User mit Global Admin auch die Installation berechtigen, durch Eingabe der Anmeldung bei der entsprechenden Aufforderung.
Es ist möglich sich mit dem User „.\LAPS“ an diesem Computer anzumelden. Unter gewissen Umständen ist das praktischer, es entfällt sich immer wieder als LAPS zu identifizieren.
Das Passwort für den Local Admin finden
Das aktuelle Passwort für den LAPS Account findet man im Intune / Geräte / Windows. Den betroffenen Computer auswählen. Lokales Administratorenkennwort auswählen.
Richtlinien im Intune für die Anwendung von LAPS
Dafür gibt es hinreichend Beschreibungen und Videos.
Hier sei lediglich erwähnt, dass die Benutzername „LAPS“, die Gültigkeitsdauer von 24h und der erzwungenen Neustart nach der Frist einstellbar die bei uns eingestellten Werte sind.