Wie erstelle ich einen User für das Software Asset Management (SAM) Inventory in der Hamburg Cloud?

Mit der Nutzung unserer Smart Licensing Artikel, sind wir verpflichtet die von Ihnen genutzten Microsoft Lizenzen an die Microsoft GmbH zu reporten. In diesem Zuge behält sich die Microsoft GmbH vor, die gemeldeten Daten jederzeit mit einem Audit zu prüfen. Falsch gemeldete Lizenzdaten können zu erheblichen Nachforderungen führen. Um dies zu verhindern, muss für die in der Hamburg-Cloud laufenden virtuellen Maschinen ein monatliches Software Asset Reporting durchgeführt werden. Dieses Reporting basiert auf einem monatlichen Software Asset Management (SAM) Inventory. Das SAM Inventory wird über ein Powershell-Script realisiert, das einmal im Monat über die VMware-Tools auf jedem Server ausgeführt wird. Hierfür benötigen wir Zugangsdaten für ihre Systeme.

Das Inventory erfolgt über die VMware-Tools auf jedem einzelnen Server

SAM-Inventory-User für Domänen-Controller / Exchchange Server / Domänen-Server

Zur Inventarisierung von Active Directory Daten über dedizierte Domänen-Controller und Exchange Server ist  ein Domänen-User mit buildIn Administrator Rechten erforderlich. Dieser Benutzer kann optional auch zur Inventarisierung weiterer Domänen Member Server verwendet werden. Alternativ kann  ein Domänen-Benutzer ohne Administratorrechte für alle vorhandenen und neuen Member Server der Domäne verwendet werden.  Der Vorteil in beiden Fällen: Neu erstellte Server können als Domänenmitglied ohne weiteren Aufwand inventarisiert werden. 

SAM-Inventory User für Domänen Controller  &  Exchange-Server
Username: [CSN]-sam-inv-dom
Kennwort: min 20 Zeichen komplex
Beschreibung: HHCL Software Asset Management (SAM) Inventory User
Berechtigungen: AD-User, Mitglied Administratoren (Built-In), Remotedesktop-Profil: RPD-Zugriff deaktiviert (Anmeldung bei Remotedesktop-Sitzungshostserver für diesen Benutzer nicht zulassen)

SAM-Inventory User für Domänen-Member
Username: [CSN]-sam-inv-mem
Kennwort: min 20 Zeichen komplex
Beschreibung: HHCL Software Asset Management (SAM) Inventory User
Berechtigungen: AD-User,  Remotedesktop-Profil: RPD-Zugriff deaktiviert (Anmeldung bei Remotedesktop-Sitzungshostserver für diesen Benutzer nicht zulassen)

Gruppenrichtlinie für den SAM-Inventory User

Erstellen Sie bitte Gruppenrichtlinen für den SAM-Inventory User nach folgendem Muster

Gruppenrichtlinie CSN-SAM-Inv-Dom

 SAM-Inventory User Domain-Controller und Exchange Server
1. Benutzer domänenweit zu built-in Admins hinzufügen

Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Lokale Benutzer und Gruppen: Neu Lokale Gruppe
Aktion: Aktualisieren 
Gruppenname: Administration (integriert),  Administrators (Built-In)
Beschreibung: add sam-inventory user to builtin-admins
Mitglied domain\csn-sam-inv-dom

2. Anmeldung des Users über Remotedesktopdienste domänenweit verweigern
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -Zuweisen von Benutzerrechten -> Anmelden über Remotedesktopdienste verweigern : Richtlinieneinsteellung: Diese Richtlinie definieren: Benutzer [csn]-sam-inc-dom hinzufügen

Gruppenrichtlinie CSN-SAM-Inv-Mem

1. Anmeldung des Users über Remotedesktopdienste domänenweit verweigern
Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -Zuweisen von Benutzerrechten -> Anmelden über Remotedesktopdienste verweigern : Richtlinieneinsteellung: Diese Richtlinie definieren: Benutzer [csn]-sam-inc-mem hinzufügen

Inventory-User für separate Member oder WORKGROUP Server

Um jeweils die separaten Member Server einer Domäne oder einen WORGROUP Server zu inventarisieren benötigen wir grundsätzlich nur einen lokalen Benutzer ohne weitere Rechte. Dieser muss jedoch für jeden vorhanden und neuen Server separat angelegt werden.

SAM-Inventory User für separate oder WORKGROUP Server (Stand-Alone)
Username: [CSN]-SAM-Inventory
Kennwort: min. 20 Zeichen komplex
Beschreibung: HHCL Software Asset Management (SAM) Inventory
Berechtigungen: Benutzer,  Remotedesktop-Profil: RDP-Zugriff deaktiviert (Anmeldung bei Remotedesktop-Sitzungshostserver für diesen Benutzer nicht zulassen

Um den lokalen User auf dem Start-Bildschirm auszublenden bitte folgenden Registry Key hinzufügen:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"[CSN]-sam-inventory"=dword:00000000



2020-02-12