MSXFAQ MeetNow aktiv: Komm doch einfach dazu.

EPM - Lokaler Admin auf Entra ID Device

Wie kann ich als Benutzer auf einem Client temporär oder für gewisse Prozesse und mit Auditing als Administrator arbeiten? Immer mehr Firmen reduzieren die Nutzung ihres lokalen Active Directory und nehmen ihre Clients nicht mehr in die Domain auf. Die Computer sind damit nur noch "Entra ID-Joined" und werden durch Intune verwaltet und statt Gruppenrichtlinien gibt es Intune-Policies. Benutzer können über den "Cloud Kerberos Trust" weiterhin ein Kerberos-Ticket für lokale Server bekommen.

Admin auf Clients

Wer Sicherheit hochhalten will, sollte mit minimalen Berechtigungen arbeiten. Das gilt nicht nur für Active Directory Administratoren mit einem passenden Tiering-Modell (Tier 0/1/2 Security ist nicht alles), sondern erst recht für lokale Clients, die naturgemäß nicht im abgesicherten RZ stehen, sondern mehr oder minder frei zugänglich und damit physikalische angreifbar sind. Bitlocker, 802.1x, Windows Hello statt Kennwort, Virenscan, Updates etc. sind hier wichtige Komponenten. Aber der legitime Anwender sollte natürlich auch gegen unabsichtliche oder bösartige Aktivitäten geschützt werden. Seit Windows NT kennt dazu die Unterscheidung zwischen "Administrator" und "User" und über zusätzliche Gruppen (Druckoperatorkönnen, Sicherungs-Operator, Ereignisprotokollleser etc.) können auch normale Anwender etwas mehr Berechtigungen bekommen.

Nicht immer waren aber all diese Rechte "sicher" und es ist eine gute Praxis, nicht dauerhaft mit den Rechten zu arbeiten, sondern eine gesonderte Rückfrage vor der Nutzung einzubauen. Microsoft hat dazu "User Account Control" ersonnen, dass selbst Benutzer mit administrativen Rechten nur als normaler Anwender arbeiten und die privilegierten Rechte eine Nachfrage triggern, sei es einfach als Bestätigung oder sogar als weitere Kennworteingabe. So soll der Anwender sensibilisiert werden, wenn ein Prozess diese erweiterten Berechtigungen anfordert.

Auf einem "Standalone"-Client ist das noch recht einfach:

  • Administrator und Administratoren
    Diese User werden idealerweise gar nicht genutzt und aktuelle Windows Systeme deaktivieren sogar den Benutzer "Administrator" by Default und fragen bei der Installation nach einem eigenen Benutzer, der dann allerdings in die Administratoren-Gruppe aufgenommen und per UAC gesichert wird.
  • Benutzer
    Weitere reguläre Anwender sind einfach nur "Benutzer" und können sie im Wesentlichen nur in ihrem Profil bewegen und bereits installierte Programme nutzen

Admins im AD-Umfeld

Als Mitglied in einem Active Directory werden beim Beitritt des Computer die Lokalen Gruppen um die Domain-Gruppen erweitert, d.h. "Domain-Benutzer" wird in "Benutzer" und "Domain-Administratoren" in die lokale Gruppe der "Administratoren" addiert. Weiterhin können weitere Gruppenmitgliedschaften über die Gruppenrichtlinien verwaltet werden.

Sie sollte z.B. die Arbeit als "Domain Admin" auf ein Mindestmaß reduzieren und nur dazu nutzen, weitere Berechtigungsgruppen anzulegen und Rechte zu delegieren. Für Clients bietet es sich an, ein oder sogar nach Abteilungen oder anderen Gruppierungen eingeschränkte Admin-Gruppe anzulegen und über GPOs auf die entsprechenden Clients zu berechtigen. Sie könnten so eine Gruppe "PC-Admin-Vertrieb" anlegen, die per Gruppenrichtlinie auf allen Computern in der "OU=Vertrieb,OU=Clients,dc=msxfaq,dc=de" lokal zu den Administratoren addiert wird.

Die entsprechenden Personen bekommen dann neben ihrem regulären Benutzerkonto zum Surfen, Mailen, Dokumentieren etc. auch noch ein zweites Konto für "Administrative Tätigkeiten", welches dann in den jeweiligen Gruppen Mitglied ist oder zum Mitglied gemacht werden kann. Für dieses Modell legen viele Rollen und Programme ja eigene Gruppen wie DHCP-Admins, DNS-Admins, Exchange Admins, etc. an. Administrative Konten sollten nicht nur aufgrund der Beschränkungen durch die Funktion AdminSDHolder nicht für nicht-administrative Dinge genutzt werden.

Wenn ein Computer "Hybrid-Joined" ist, dann bleiben alle Überlegungen eines reinen "AD-Joined"-Clients unverändert gültig.

Entra ID Only

Sobald ein Computer aber in Entra ID und insbesondere in Intune registriert ist, ergeben sich weitere Möglichkeiten. Sobald der Computer aber nicht mehr Mitglied einer lokalen Domain ist, fallen natürlich Mitgliedschaften durch Domain-Konten und Gruppenrichtlinien weg. Genau das ist mir auf meinem eigenen Firmencomputer passiert. Mein Client war früher nur "AD-Joined" und ich hatte neben meinem "normalen DomainUser" zum Arbeiten mit Outlook, Office, etc. auch ein administratives Konto in der Domain, welches z.B. in der "Exchange Admin"-Gruppe war aber auch auf meinen persönlichen Client als lokaler Administrator arbeiten konnte. Mit Entra ID und Intune war dies weiter möglich. Aber aktuell ist mein primärer Arbeitscomputer nicht mehr Mitglied einer Active Directory-Domain und damit kann mein administratives Konto der Domain nicht mehr als lokale Admin auf dem Client addiert werden. Aber es gibt andere Wege, wie ich als "Normaluser" auf meinem PC auch "als Administrator" arbeiten kann

  • Lokales Admin Konto
    In der weiterhin lokal vorhandenen SAM kann ich mir einen Frank-Admin mit einem Kennwort anlegen. Wenn ich dann auf dem Client als AzureAD:Frank arbeite und etwas als Admin starten will, dann nutze ich einfach das Konto und ein "RunAs". Die Nachteile dürfen aber nicht unerwähnt bleiben, wenn so ein lokales Konto ist quasi gar nicht mehr in der Kontrolle der Firmen IT und muss auch erst einmal angelegt werden. Wie "sicher" es ist, hängt davon ab, ob auch lokale Anmeldeprozesse und die Verwendung irgendwie protokolliert und gemeldet werden.
  • Entra ID Admin-Konto (Synched)
    Ich bin eigentlich dagegen, dass Adminkonten in einem lokalen AD mittels ADSync auch noch nach Entra ID synchronisiert und zur dort eventuell zur Administration genutzt werden. In Entra ID gibt es andere Optionen, z.B. indem mein reguläres Benutzerkonto mittels PIM in Entra ID temporär eingeschränkte Rechte bekommen kann. Aber ein Entra ID-Konto könnte natürlich auf dem Client-Computer dann auch als Administrator addiert werden
  • Entra ID Admin-Konto (CloudOnly)
    Wenn ich den Verzeichnisabgleich nicht möchte, könnte ich mir natürlich zu meinem regulären Benutzerkonto ein zweites CloudOnly-Konto anlegen und mit MFA sichern lassen, welches keine Lizenz hat sondern nur in die lokale AdminGruppe des PCs mit aufgenommen wird
  • EntraID User in lokaler Admingruppe
    Ich habe einen regulären Benutzer in Entra ID, der sogar per ADSync aus dem lokalen AD repliziert wird und normalerweise kein lokaler Administrator ist. Ich kann bei einem EntraID-Joined PC per PowerShell () ein Entra ID-Konto in Gruppen aufnehmen. Als Member können Sie neben lokalen Benutzern auch "MicrosoftAccount:<LiveID>" und "addomain\username" verwenden.
Add-LocalGroupMember `
   -Group Administratoren `
   -Member "AzureAD:user@uclabor.de"
  • EPM - Endpoint Privilege Management
    Relativ jung (Anfang 2026) ist noch die Funktion EPM, über welche ich ähnlich zu PIM einem Benutzer oder Programm (.EXE, .PS1, .MSI) höhere Berechtigungen einräume. Diese Funktion ist aber nicht in allen Lizenzpaketen enthalten und ggfls. als AddOn-Lizenz zu erwerben.

Sie haben also nicht nur eine Option.

Entra ID/Intune und Admin

Um ein Entra-Konto auf ein oder mehreren Computern zum lokalen Administrator zu machen, gibt es mit Entra ID und Intune mehrere Möglichkeiten:

Szenario Einstellung

Das Konto soll auf allen Geräten lokale Admin sein

Dies ist über die "Device Settings" in Entra ID (https://entra.microsoft.com) steuerbar.

Achtung
Diese Einstellung wird nur während des Join einmalig angewendet aber nicht nachträglich an Clients durchgesetzt, die schon Enra ID Joined sind.

Admin Aufgaben in EntraID

Wenn Sie schon im Bereich der Entra ID Devices unter Device Settings sind, dann gibt es dort einen unscheinbaren Link:

In dem nächsten Fenster können Sie dann Benutzer oder besser noch ein Entra ID-Gruppe auf allen Geräten als Administrator addieren lassen. Diese Rechte lassen sich aber nicht auf Teilmengen zuweisen.

Flexibler ist eine Steuerung per Intune, um z.B. den Helpdesk auf ausgewählten Systemen die Berechtigungen einzurichten

Wer mit Microsoft 365 E3 oder EMS E3 unterwegs ist, kann auch Intune nutzen. Hier lassen sich die lokalen Gruppen elegant über Richtlinien vorgeben, die auch immer wieder umgesetzt werden:

Sie können in der Richtlinie ein oder mehrere Default-Gruppen auswählen, in die Sie dann Benutzer und Gruppen entweder addieren, entfernen oder ersetzen.

Ein Konto soll nur auf einem Gerät lokaler Admin sein

Verschiedene Quellen sagen, dass man in Entra ID auf den Eingenschaften eines Geräte eine Einstellung bezüglich lokaler Administratoren vornehmen könnte. Gefunden habe ich sie aber (Jan 2026) nicht. Aber warum sollte Microsoft aber so eine Einstellung per Entra ID erlauben, wenn es eine Intune-Richtlinie gibt. Sie können aber auch dem Gerät selbst jederzeit die Gruppe der Administratoren manuell oder per Skript pflegen. Bei Hybrid-Joined-Geräten können Sie auch eine Gruppenrichtlinie dazu einsetzen.

Nutzbar ist eigentlich nur der Weg über eine Intune-Richtlinie oder eine andere MDM-Lösung die Mitgliedschaften in lokalen Gruppen und insbesondere der lokalen Administrator-Gruppe aktiv überwacht und Einstellungen durchsetzt. Sonst kann ein Benutzer, der auch nur kurzzeitig Administrator ist, sich schnell ein zweites Admin-Konto anlegen oder weitere Benutzer in die lokalen Gruppen aufnehmen.

Eigentlich wünscht ich mir noch eine MFA-Funktion für User Account Control, damit ich nicht nur einfach ein "OK" wegklicken muss, sondern z.B. einen Fido-Key o.ä. vorweisen muss.

EPM - Endpoint Privilege Management

Aktuell ist die Funktion "Endpoint Privilege Management" noch in der Preview bzw. als AddOn-Lizenz zu erwerben. Sobald ich einige Erfahrungen im realen Betrieb damit gesammelt habe, schreibe ich diesen Absatz weiter. Bis dahin begnüge ich mich mit Links zu Microsoft und anderen Seiten.

Zwischenstand

Eigentlich will ich kein dauerhafter Admin sein aber sowohl ein lokales Admin Konto als auch ein zusätzliches Admin-Konto in Entra ID finde ich nicht gerade geeignet, u min Firmen die Aufgabenstellung optional zu lösen. EPM klingt vielversprechend, zumindest wenn der Client eine Verbindung zu Entra ID hat und die Anforderung eines lokalen Admin in kurzer Zeit aktiviert werden kann. Aber mangels Lizenz kann ich das noch nicht testen.

Daher läuft es des aktuell doch erst mal wieder darauf hinaus, dass mein Entra ID-Benutzerkonto, welches zumindest in Entra ID selbst keinerlei erweiterte Berechtigungen hat, auf diesem einen, nämlich meinen, Windows Client dann doch erst mal wieder in die lokale Gruppe der Administratoren aufgenommen wird und die Aktivierung dieser Funktion über UAC abgesichert wird. Leider kennt UAC bei dieser Konfiguration nur die Möglichkeit einer Benachrichtigung, die ich einfach nur bestätigen oder ablehnen kann. Eine erneute Kennwort-Abfrage oder z.B. die Nutzung eines zweiten Faktors ist hier nicht vorgesehen. Diese Schutzfunktion sollte aber ausreichend sein, dass keine Malware o.ä. sich ebenfalls die Privilegien verschafft, auf dem lokalen System Unfug zu treiben.

Ersatzweise habe ich auch noch einen rein lokalen Benutzer, welcher als Administrator arbeiten kann. Den nutze ich aber nur, wenn mein Hauptbenutzer nicht angemeldet sein soll. Das Kennwort ist entsprechend lang, um sicher zu sein. Aber auch dies ist nur eine befristete Lösung, denn so ein "unmanaged Account" ist ebenfalls keine erstrebenswerte Konfiguration.

Weitere Links