adnan88
Goto Top

Lokalen Bentuzer Kennwort Ändern

Hallo,

ich würde gerne auf jedem Client die wir haben das lokale Kennwort des Admin ändern.


Ich würde das gerne am liebsten per GPO machen leider ist das nicht ganz möglich und was ich gelesen habe
hat Microsoft das Tool LAPS im im Einsatz bzw zum Download bereit, allerdings komme ich da nicht ganz klar mit dem
Tool, der will ja jeden PC Namen etc, so wie ich es gesehen habe und dem LAPS müsste ich ja auch mitteilen
das der Lokale User bei uns nicht "Administrator" sondern "Verwaltung" heißt, kann mir da jemand helfen ?


Informationen:


Information:


Lokaler Benutzer mit Administratonsrechten heißt bei uns
"Verwaltung" und nicht "Administrator"

Kein Ausführen als normaler User von CMD Powershell etc GPO ist aktiv.

Unsere GPOs´s laufen über den DC - beim DC handelt es sich um einen 2012R2.

Bei uns im Unternehmen betriftt das ca 200 Rechner (ca.195Win 7 und ca 5 Win10) Rechner.

Content-ID: 334383

Url: https://administrator.de/contentid/334383

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

geocast
geocast 07.04.2017 um 10:22:02 Uhr
Goto Top
Guten Morgen

Zu Laps gibt es Admx Dateien womit du angeben kannst wie der lokale Admin heißt. Auch weitere Einstellung z.B. wie häufig das Passwort geändert werden soll etc.

Du Verteilst den Client per GPO und Installierst dir einmal den Client z.B. auf dem Server. Dieser hat dort eine grafische Oberfläche. Da kannst du den PC Namen eingeben und er holt sich das Passwort raus. Habe leider meine Bookmarks nicht dabei, aber es gibt ganz gute Anleitungen im Internet. Du musst dein Schema im AD Erweitern damit das Funktioniert.
DerWoWusste
DerWoWusste 07.04.2017 um 13:38:23 Uhr
Goto Top
Hi.

Geocasts Hinweise sehen doch prima aus. Dennoch die Frage vorneweg: warum sollte man überhaupt lokale Nutzer brauchen? Ich würde den lokalen Admin deaktivieren, denn es gibt kein Szenario, wo man ihn zwingend in aktivierter Form benötigt, auch nicht, wenn die Domäne nicht verfügbar ist.
geocast
geocast 10.04.2017 um 08:58:18 Uhr
Goto Top
@DerWoWusste
Wenn keine Verbindung steht zur Domäne, aktivierst du dann den lokalen Admin? Oder wie gehst du da vor? Nur mal Interessehalber
DerWoWusste
DerWoWusste 10.04.2017 aktualisiert um 18:17:43 Uhr
Goto Top
Moin.

Du nimmst die bekannten Methoden: [Name entfernt] and registry editor oder utilman.exe
Dani
Dani 10.04.2017 aktualisiert um 18:17:20 Uhr
Goto Top
Moin,
Du nimmst die bekannten Methoden:
Du kennst die Regeln doch... face-smile


Gruß,
Dani
DerWoWusste
DerWoWusste 10.04.2017 um 18:17:24 Uhr
Goto Top
Ja. Sehe darin keinen Konflikt.
Habe mit Frank auch schon deratiges persönlich diskutiert.
Dani
Dani 10.04.2017 um 18:20:23 Uhr
Goto Top
Habe mit Frank auch schon deratiges persönlich diskutiert.
Was ist das Ergebnis? Mein letzter Stand ist, dass das genannte Tool nicht mit dem FAQ konform ist.


Gruß,
Dani
Frank
Lösung Frank 11.04.2017 aktualisiert um 09:16:22 Uhr
Goto Top
Hi,

Generell sollten wir keine illegalen Tools nennen oder zulassen. Die Nennung ist zwar nicht mehr direkt strafbar, zerstört aber ggf. unseren guten Ruf und man kann, je nach Schaden, auch weiterhin als Mitstörer zur Verantwortung gezogen werden.

Damals ging es um die Nennung eines DVD-Kopiertools innerhalb eines journalistischen Artikels zum Thema Backup, es war aber keine Anleitung, wie das Tool genau funktioniert. Kleiner aber feiner Unterschied für unsere Justiz. Ansonsten gilt der Hackertoolparagraf, der in § 202c des deutschen Strafgesetzbuches (StGB) erklärt wird:

Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er
1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,
herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.(2) § 149 Abs. 2 und 3 gilt entsprechend.

"verbreitet oder sonst zugänglich macht" sind unsere Buzzwords face-smile

Was damals als Beispiel genannt wurde, gilt auch heute noch: Gibt der Hersteller selbst eine Möglichkeit frei, das Passwort durch Boardmittel zurückzusetzen, wie es z.B. Apple mit der Installations-CD/Image anbietet, ist es in Ordnung. Braucht man aber ein Tool von Dritten, die Passwörter/Sperren umgehen, sollten wir es hier nicht zulassen oder erwähnen.

Auch mit dem Gedanken dahinter, dass solche Software mittlerweile gerne dazu benutzt wird, Rechner heimlich zu unterwandern oder zu missbrauchen (z.B. steckt in fast jedem Keygenerator heute mindestens ein Trojaner oder Virus drin).

Gruß
Frank
Webmaster
DerWoWusste
DerWoWusste 11.04.2017 um 09:32:51 Uhr
Goto Top
Gut, dann werde ich fortan bei Sicherheitsthemen versuchen, Namen zu vermeiden und allenfalls Andeutungen machen.