Stellen Sie lokale Administratorkonten in Ihrer Flotte über eine einzige Richtlinie bereit und verwalten Sie sie. Primo kann Admin-Sitzungen mit zufälligen oder festen Passwörtern (sicher in der Plattform gespeichert) erstellen, optional die Berechtigungen anderer bestehender Konten reduzieren und Ihnen die Durchführung fein abgestufter Kontovorgänge auf der Ebene einzelner Geräte ermöglichen.
Betriebssystemunterstützung
| macOS | Windows | Linux | iOS / iPadOS | Android |
|---|
| ✅ | ✅ | | | |
Konfigurieren Sie die Richtlinie
Verwenden Sie die Richtlinie Admin-Benutzerverwaltung, um Administratorsitzungen auf Ihren Geräten bereitzustellen. Diese Funktion kann global oder mithilfe von Gerätegruppen auf bestimmte Gruppen angewendet werden.
In Kürze erhältlich: die Möglichkeit, die Eskalation von Berechtigungen zu erleichtern (vorübergehenden Administratorzugriff zu gewähren). In der Zwischenzeit können Sie für diese Aktionen Tools wie Privileges und MakemeAdmin verwenden.
- Aktivieren Sie die Funktion.
- Definieren Sie den Benutzernamen der zu erstellenden Administratorsitzung.
- Legen Sie das Kontopasswort fest:
- Zufälliges Passwort: pro Gerät generiert
- Festes Passwort: auf allen Zielgeräten identisch
- Wählen Sie aus, ob die Rechte bestehender Benutzer angepasst werden sollen:
- Standard: keine Änderung
- Optional: Berechtigungen für andere Sitzungen reduzieren
Speicherorte für Passwörter
- Zufälliges Passwort: wird im Panel jedes Geräts gespeichert – Geräte > Geräte > Gerätepanel
- Festes Passwort: wird in den Funktionseinstellungen gespeichert – Profile > Relevantes Profil > Administratorkontoverwaltung
Verwalten Sie Konten auf Geräteebene
Auf der Registerkarte Benutzer eines Geräts können Sie:
- Gewähren Sie Administratorrechte
- Entfernen Sie Administratorrechte
- Erstellen Sie eine lokale Sitzung
- Drehen Sie das Passwort einer bestehenden Sitzung
Diese Aktionen ermöglichen zusätzlich zur globalen profilbasierten Richtlinie eine differenzierte Verwaltung.
Ändern oder deaktivieren Sie die Richtlinie
Nach der Aktivierung in einem Profil kann die Richtlinie nicht direkt bearbeitet werden.
- Um sie zu aktualisieren, deaktivieren Sie die Richtlinie und aktivieren Sie sie dann mit neuen Einstellungen erneut.
- Das Deaktivieren der Richtlinie stoppt ihre Durchsetzung, löscht jedoch nicht das Administratorkonto oder sein Passwort, die weiterhin verfügbar bleiben.
Auf macOS
Entfernen des Administratorzugriffs auf einem Gerät mit einem aktiven sicheren Token
SecureToken ist eine macOS-spezifische Funktion, die als Zugriffsschlüssel fungiert und es einem Benutzerkonto ermöglicht, kritische Sicherheitsfunktionen wie die FileVault-Verschlüsselung zu aktivieren und zu verwalten.
Derzeit ist es nicht möglich, Administratorrechte von einem Konto zu entfernen, wenn es das einzige Konto mit einem SecureToken auf dem Gerät ist. Wir arbeiten daran, diese Verwaltung zu verbessern, um die Übertragung des SecureTokens auf ein anderes Konto zu ermöglichen, insbesondere auf das über Primo verwaltete Konto.
Auf Windows
Die Richtlinie erstellt ein lokales Administratorkonto und speichert das Passwort. Passwortoptionen (zufällig oder fest) und Privilegienreduzierung für andere Konten funktionieren auf die gleiche Weise wie bei macOS.
Sonderfälle
Geräte, auf die mehrere Verwaltungsrichtlinien für Administratorkonten abzielen
Richtlinienduplizierungen können auftreten, wenn Sie die Richtlinie für ein globales Profil und für ein „spezifisches“ Profil aktivieren. In diesem Fall verwaltet Primo den Konflikt nicht: MDM versucht, den angeforderten Benutzer zu erstellen, indem es lediglich prüft, ob der Kontoname nicht identisch ist.
Best Practices
- Bevorzugen Sie zufällige Passwörter, um die Sicherheit im großen Maßstab zu erhöhen.
- Dokumentieren Sie macOS SecureToken-Ausnahmen in internen IT-Verfahren.
- Vermeiden Sie die Aktivierung doppelter Richtlinien für sich überschneidende Profile, um Konflikte zu vermeiden.
