Verwaltungsaccounts

Die Administration des Verwaltungsaccounts kann über eine Richtlinie erfolgen.

Die Administration des Verwaltungsaccounts mit einer Richtlinie ermöglicht Ihnen Folgendes:

  • Accountpasswort ändern – Mit dieser Option werden das Passwort für den Verwaltungsaccount sowie das für den Benutzeraccount und für FileVault geändert. Diese Option wird nur empfohlen, wenn das Passwort des Verwaltungsaccounts im Schlüsselbund „Anmeldung“ mit dem für den Account in Jamf Pro übereinstimmt.

  • Accountpasswort zurücksetzen – Mit dieser Option wird nur das Passwort für den Verwaltungsaccount geändert. Das Passwort für den Verwaltungsaccount im Schlüsselbund „Anmeldung“ und das Passwort für FileVault werden dadurch nicht geändert. Auf Computern mit macOS ab Version 10.14 müssen Sie zunächst das Sicherheitstoken des Verwaltungsaccounts deaktivieren, ehe Sie das Passwort zurücksetzen können. Weitere Informationen zu SecureToken finden Sie unter Verwendung von SecureToken in der Implementierungsreferenz für Mac von Apple.

    Notiz: Wenn das Passwort für den Verwaltungsaccount im Schlüsselbund „Anmeldung“ nicht mit dem in Jamf Pro gespeicherten Accountpasswort übereinstimmt, müssen Sie die Option Accountpasswort zurücksetzen, um den Verwaltungsaccount mithilfe einer Richtlinie zu administrieren. Andernfalls treten beim Ausführen der Richtlinie Fehler auf.

  • Benutzer für FileVault aktivieren

    Notiz: Auf Computern mit macOS ab Version 10.13 muss für den Computer ein gültiger privater (auch bekannt als „individueller“) Wiederherstellungsschlüssel vorhanden sein, der mit dem in Jamf Pro hinterlegten Wiederherstellungsschlüssel übereinstimmt.

  • Benutzer für FileVault deaktivieren

Wichtig: Wenn Sie die Passworteinstellungen für den Verwaltungsaccount konfigurieren, empfehlen wir, für höchstmögliche Sicherheit die Option „Neues Passwort zufällig erstellen“ zu verwenden.

Verwaltungsaccount während der Computer-Registrierung erstellen

Sie können für die Registrierung von Computern einen lokalen Administratoraccount angeben, den sogenannten Verwaltungsaccount, der für die Verwaltung der registrierten Computer verwendet wird. Der Verwaltungsaccount muss erstellt werden, um von Jamf Pro verwaltete Computer zu berücksichtigen.

Der Verwaltungsaccount muss nur erstellt werden, wenn Sie die folgenden Aufgaben auf dem Computer ausführen möchten:

  • Bildschirmfreigabe mit Jamf Remote

  • Authentifizierung zum Starten einer SSH-Sitzung mit Jamf Remote für den Computer, um bei Jamf Pro einzuchecken und Richtlinien auszuführen

  • Registrieren von Computern mit macOS bis Version 10.15.7 mit Recon, einschließlich der Erstellung eines QuickAdd.pkg für Jamf Binary Registrierungen

  • Aktivieren von FileVault mithilfe einer Richtlinie (wenn SecureToken auf dem Verwaltungsaccount aktiviert ist)

  • Aktivieren oder Deaktivieren von Benutzern für FileVault mithilfe einer Richtlinie (wenn SecureToken auf dem Verwaltungsaccount aktiviert ist)

  • Erstellen eines persönlichen Wiederherstellungsschlüssels mithilfe einer Richtlinie (wenn SecureToken auf dem Verwaltungsaccount aktiviert ist)

  • Authentifizierten Neustart mithilfe einer Richtlinie durchführen (wenn SecureToken auf dem Verwaltungsaccount aktiviert ist)

Dafür müssen Sie die benutzerinitiierte Registrierung aktivieren und anschließend den Benutzernamen und das Passwort des Verwaltungsaccounts konfigurieren. Es wird empfohlen, für maximale Sicherheit die Option „Neues Passwort zufällig erstellen“ zu verwenden. In den Bestandsinformationen des betreffenden Computers wird im Attributfeld „Verwaltet“ angezeigt, ob der Computer über den Verwaltungsaccount verwaltet wird oder nicht.

Wichtig: Jamf empfiehlt nicht, ein allgemeines, bekanntes Passwort für den Verwaltungsaccount oder für die lokale Anmeldung bei Computern zu verwenden. Außerdem sollten Sie den Verwaltungsaccount nicht verwenden, um sich lokal bei Computern anzumelden. Wenn Sie einen Account benötigen, um sich lokal bei einem Computer anzumelden, erstellen Sie zu diesem Zweck einen lokalen Administratoraccount, anstatt den Verwaltungsaccount zu verwenden. Sie können einen lokalen Administratoraccount mithilfe der folgenden Methoden erstellen:

  • Konfigurieren der Payload „Lokale Accounts“ einer Richtlinie (Weitere Informationen finden Sie unter Lokale Accounts.)

  • Konfigurieren des lokalen Accounts in einer Computer-PreStage-Registrierung (Weitere Informationen finden Sie unter PreStage-Registrierungen für Computer.)

  • Erstellen eines Skripts

Administrieren des Verwaltungsaccounts mithilfe einer Richtlinie

Bei Verwendung einer Richtlinie können Sie das Passwort für den Verwaltungsaccount sowohl ändern als auch zurücksetzen. Darüber hinaus können Sie den Verwaltungsaccount für FileVault aktivieren oder deaktivieren.

  1. Melden Sie sich bei Jamf Pro an.

  2. Klicken Sie im oberen Seitenbereich auf den Tab Computer.

  3. Klicken Sie auf Richtlinien.

  4. Klicken Sie auf Neu images/download/thumbnails/82674826/Icon_New_Button.png .

  5. Konfigurieren Sie mithilfe der Payload „Allgemein“ die Grundeinstellungen der Richtlinie, z. B. den Auslöser und das Ausführungsintervall.

  6. Wählen Sie die Payload „Verwaltungsaccount“ und dann mithilfe der in diesem Bereich verfügbaren Optionen eine Aktion aus.

    Wichtig: Wenn Sie die Passworteinstellungen für den Verwaltungsaccount konfigurieren, empfehlen wir, für höchstmögliche Sicherheit die Option „Neues Passwort zufällig erstellen“ zu verwenden.

  7. Konfigurieren Sie mithilfe der Payload „Neustart-Optionen“ die Einstellungen zum Neustarten von Computern.

  8. Klicken Sie auf den Tab Bereich und konfigurieren Sie den Anwendungsbereich der Richtlinie:

  9. (Optional) Klicken Sie auf den Tab Self Service und stellen Sie die Richtlinie in Self Service bereit.

  10. (Optional) Klicken Sie auf den Tab Benutzerinteraktion und konfigurieren Sie die Optionen für Nachrichten und Rückstellungen.

  11. Klicken Sie auf Speichern images/download/thumbnails/82674826/floppy-disk.png .

Die Richtlinie wird auf Computern im Anwendungsbereich im Zuge des nächsten Check-Ins bei Jamf Pro ausgeführt, sofern die Kriterien der Payload „Allgemein“ erfüllt werden.

Weiterführende Informationen

Weiterführende Informationen finden Sie in den folgenden Abschnitten dieses Leitfadens:

Copyright     Datenschutz-Bestimmungen     Nutzungsbedingungen     Sicherheit
© copyright 2002-2021 Jamf. Alle Rechte vorbehalten.