9
Lokalen Bentuzer Kennwort Ändern
Hallo,
ich würde gerne auf jedem Client die wir haben das lokale Kennwort des Admin ändern.
Ich würde das gerne am liebsten per GPO machen leider ist das nicht ganz möglich und was ich gelesen habe
hat Microsoft das Tool LAPS im im Einsatz bzw zum Download bereit, allerdings komme ich da nicht ganz klar mit dem
Tool, der will ja jeden PC Namen etc, so wie ich es gesehen habe und dem LAPS müsste ich ja auch mitteilen
das der Lokale User bei uns nicht "Administrator" sondern "Verwaltung" heißt, kann mir da jemand helfen ?
Informationen:
Information:
Lokaler Benutzer mit Administratonsrechten heißt bei uns
"Verwaltung" und nicht "Administrator"
Kein Ausführen als normaler User von CMD Powershell etc GPO ist aktiv.
Unsere GPOs´s laufen über den DC - beim DC handelt es sich um einen 2012R2.
Bei uns im Unternehmen betriftt das ca 200 Rechner (ca.195Win 7 und ca 5 Win10) Rechner.
ich würde gerne auf jedem Client die wir haben das lokale Kennwort des Admin ändern.
Ich würde das gerne am liebsten per GPO machen leider ist das nicht ganz möglich und was ich gelesen habe
hat Microsoft das Tool LAPS im im Einsatz bzw zum Download bereit, allerdings komme ich da nicht ganz klar mit dem
Tool, der will ja jeden PC Namen etc, so wie ich es gesehen habe und dem LAPS müsste ich ja auch mitteilen
das der Lokale User bei uns nicht "Administrator" sondern "Verwaltung" heißt, kann mir da jemand helfen ?
Informationen:
Information:
Lokaler Benutzer mit Administratonsrechten heißt bei uns
"Verwaltung" und nicht "Administrator"
Kein Ausführen als normaler User von CMD Powershell etc GPO ist aktiv.
Unsere GPOs´s laufen über den DC - beim DC handelt es sich um einen 2012R2.
Bei uns im Unternehmen betriftt das ca 200 Rechner (ca.195Win 7 und ca 5 Win10) Rechner.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 334383
Url: https://administrator.de/contentid/334383
Printed on: April 16, 2024 at 08:04 o'clock
9 Comments
Latest comment
Guten Morgen
Zu Laps gibt es Admx Dateien womit du angeben kannst wie der lokale Admin heißt. Auch weitere Einstellung z.B. wie häufig das Passwort geändert werden soll etc.
Du Verteilst den Client per GPO und Installierst dir einmal den Client z.B. auf dem Server. Dieser hat dort eine grafische Oberfläche. Da kannst du den PC Namen eingeben und er holt sich das Passwort raus. Habe leider meine Bookmarks nicht dabei, aber es gibt ganz gute Anleitungen im Internet. Du musst dein Schema im AD Erweitern damit das Funktioniert.
Zu Laps gibt es Admx Dateien womit du angeben kannst wie der lokale Admin heißt. Auch weitere Einstellung z.B. wie häufig das Passwort geändert werden soll etc.
Du Verteilst den Client per GPO und Installierst dir einmal den Client z.B. auf dem Server. Dieser hat dort eine grafische Oberfläche. Da kannst du den PC Namen eingeben und er holt sich das Passwort raus. Habe leider meine Bookmarks nicht dabei, aber es gibt ganz gute Anleitungen im Internet. Du musst dein Schema im AD Erweitern damit das Funktioniert.
Hi.
Geocasts Hinweise sehen doch prima aus. Dennoch die Frage vorneweg: warum sollte man überhaupt lokale Nutzer brauchen? Ich würde den lokalen Admin deaktivieren, denn es gibt kein Szenario, wo man ihn zwingend in aktivierter Form benötigt, auch nicht, wenn die Domäne nicht verfügbar ist.
Geocasts Hinweise sehen doch prima aus. Dennoch die Frage vorneweg: warum sollte man überhaupt lokale Nutzer brauchen? Ich würde den lokalen Admin deaktivieren, denn es gibt kein Szenario, wo man ihn zwingend in aktivierter Form benötigt, auch nicht, wenn die Domäne nicht verfügbar ist.
@DerWoWusste
Wenn keine Verbindung steht zur Domäne, aktivierst du dann den lokalen Admin? Oder wie gehst du da vor? Nur mal Interessehalber
Wenn keine Verbindung steht zur Domäne, aktivierst du dann den lokalen Admin? Oder wie gehst du da vor? Nur mal Interessehalber
Moin.
Du nimmst die bekannten Methoden: [Name entfernt] and registry editor oder utilman.exe
Du nimmst die bekannten Methoden: [Name entfernt] and registry editor oder utilman.exe
Moin,
Gruß,
Dani
Du nimmst die bekannten Methoden:
Du kennst die Regeln doch... Gruß,
Dani
Ja. Sehe darin keinen Konflikt.
Habe mit Frank auch schon deratiges persönlich diskutiert.
Habe mit Frank auch schon deratiges persönlich diskutiert.
Habe mit Frank auch schon deratiges persönlich diskutiert.
Was ist das Ergebnis? Mein letzter Stand ist, dass das genannte Tool nicht mit dem FAQ konform ist.Gruß,
Dani
Hi,
Generell sollten wir keine illegalen Tools nennen oder zulassen. Die Nennung ist zwar nicht mehr direkt strafbar, zerstört aber ggf. unseren guten Ruf und man kann, je nach Schaden, auch weiterhin als Mitstörer zur Verantwortung gezogen werden.
Damals ging es um die Nennung eines DVD-Kopiertools innerhalb eines journalistischen Artikels zum Thema Backup, es war aber keine Anleitung, wie das Tool genau funktioniert. Kleiner aber feiner Unterschied für unsere Justiz. Ansonsten gilt der Hackertoolparagraf, der in § 202c des deutschen Strafgesetzbuches (StGB) erklärt wird:
"verbreitet oder sonst zugänglich macht" sind unsere Buzzwords
Was damals als Beispiel genannt wurde, gilt auch heute noch: Gibt der Hersteller selbst eine Möglichkeit frei, das Passwort durch Boardmittel zurückzusetzen, wie es z.B. Apple mit der Installations-CD/Image anbietet, ist es in Ordnung. Braucht man aber ein Tool von Dritten, die Passwörter/Sperren umgehen, sollten wir es hier nicht zulassen oder erwähnen.
Auch mit dem Gedanken dahinter, dass solche Software mittlerweile gerne dazu benutzt wird, Rechner heimlich zu unterwandern oder zu missbrauchen (z.B. steckt in fast jedem Keygenerator heute mindestens ein Trojaner oder Virus drin).
Gruß
Frank
Webmaster
Generell sollten wir keine illegalen Tools nennen oder zulassen. Die Nennung ist zwar nicht mehr direkt strafbar, zerstört aber ggf. unseren guten Ruf und man kann, je nach Schaden, auch weiterhin als Mitstörer zur Verantwortung gezogen werden.
Damals ging es um die Nennung eines DVD-Kopiertools innerhalb eines journalistischen Artikels zum Thema Backup, es war aber keine Anleitung, wie das Tool genau funktioniert. Kleiner aber feiner Unterschied für unsere Justiz. Ansonsten gilt der Hackertoolparagraf, der in § 202c des deutschen Strafgesetzbuches (StGB) erklärt wird:
Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.(2) § 149 Abs. 2 und 3 gilt entsprechend.
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.(2) § 149 Abs. 2 und 3 gilt entsprechend.
"verbreitet oder sonst zugänglich macht" sind unsere Buzzwords
Was damals als Beispiel genannt wurde, gilt auch heute noch: Gibt der Hersteller selbst eine Möglichkeit frei, das Passwort durch Boardmittel zurückzusetzen, wie es z.B. Apple mit der Installations-CD/Image anbietet, ist es in Ordnung. Braucht man aber ein Tool von Dritten, die Passwörter/Sperren umgehen, sollten wir es hier nicht zulassen oder erwähnen.
Auch mit dem Gedanken dahinter, dass solche Software mittlerweile gerne dazu benutzt wird, Rechner heimlich zu unterwandern oder zu missbrauchen (z.B. steckt in fast jedem Keygenerator heute mindestens ein Trojaner oder Virus drin).
Gruß
Frank
Webmaster
Gut, dann werde ich fortan bei Sicherheitsthemen versuchen, Namen zu vermeiden und allenfalls Andeutungen machen.
1