38873
Goto Top

Lokaler Admin darf PW nicht ändern. GPO ?

Woran kann es liegen wenn ein User der lokaler Administrator ist, sein lokales Administrator Kennwort nicht ändern kann ?

Woran kann es liegen wenn ein User der lokaler Administrator ist, sein lokales Administrator Kennwort nicht ändern kann ? Er bekommt die Meldung Zugriff verweigert.

Ich tippe auf eine GPO. Jedoch weiss ich nicht was mein Vorgäner alles eingerichtet hat. Ich habe das Netz vor kurzem erst übernommen und hab mir schon nen Wolf im GPM gesucht.

Hat jemand ne Idee wo ich ansetzen kann ?

Gruß

Content-ID: 126245

Url: https://administrator.de/forum/lokaler-admin-darf-pw-nicht-aendern-gpo-126245.html

Ausgedruckt am: 23.12.2024 um 05:12 Uhr

Lars2802
Lars2802 01.10.2009 um 15:58:46 Uhr
Goto Top
War auf dem falschen Weg.
Xaero1982
Xaero1982 01.10.2009 um 16:12:14 Uhr
Goto Top
@lars: Was hat denn nun die Registrierung damit zu tun?!

Die Frage ist: Ist auch der richtige Administrator angemeldet?
Wie sieht die Umgebung aus?
Domäne?
Bissel mehr Infos wären schön face-smile

LG
wiesi200
wiesi200 01.10.2009 um 16:16:18 Uhr
Goto Top
Wenn du z.b. einen Domainbenutzer zum Localen Admin machst gibt's du ihm zwar die rechte auf dem PC aber nicht für seinen Account da ja der von der Domain verwaltet wird. Und wenn dann dort hinterlegt (also im Benutzer) Benutzer darf Kennwort nicht ändern, dann geht's nicht.
38873
38873 01.10.2009 um 16:34:55 Uhr
Goto Top
Okay.

Der User hat einen lokalen Benutzer der Administrator Rechte hat. Er meldet sich lokal am PC an.
Des weiteren hat der gleiche User einen Benutzer im AD mit dem er sich authentifziert für Freigaben etc.
Er nutzt Freigaben z.b. Drucker, NLW´s etc. mit denen er sich verbindet.

Vor mehreren Tagen ist sein DomänenPW abgelaufen welches er geändert hat. Seit dieser Zeit hat er Probleme das sein Domänen Account alle 2 bis 3 Stunden gesperrt wird. Trotz neu verbinden aller Freigaben und Drucker.

Und bevor jetzt was kommt wg. der Konstellation "lokaler User greift aur Resourcen einer Domain zu, deren Mitglied er nicht ist" --> Ich weiss, das es absolut unnormal ist, aber aus rechtlichen Gründen darf der User kein Mitglied der Domäne sein bzw. sein PC.

Gruß
n4426
n4426 01.10.2009 um 18:26:12 Uhr
Goto Top
Hi muLio,

hab ich es richtig verstanden, das der PC nicht mtiglied der Domain ist sondern nur in einer Arbeitsgruppe ist?


PS: Betriebssystem des Rechners währe auch noch interesant.

mfg
andi
38873
38873 01.10.2009 um 18:44:33 Uhr
Goto Top
hi andi

ja richtig, der computer ist mitglied einer arbeitsgruppe
n4426
n4426 01.10.2009 um 22:10:56 Uhr
Goto Top
da fällt mir jetzt eigentlich nur ein, das mit lokalen Benutzerprofil des Benutzers der hacken bei "Kann Kennwort nicht ändern" gesetzt ist.

03fd2071ce59a6abb1068b0a8dbd5424-userprofil

mfg
andi
DerWoWusste
DerWoWusste 02.10.2009 um 23:15:37 Uhr
Goto Top
Hallo!
hab mir schon nen Wolf im GPM gesucht.
Nutz doch den Richtlinienergebissatz am DC oder lokal am Client (rsop.msc) - nicht suchen, finden!
Man erhält "Zugriff verweigert", wenn dem Konto die Änderung verboten ist, siehe Kommentar von n4426.
n4426
n4426 03.10.2009 um 08:47:05 Uhr
Goto Top
Hallo DerWoWusste,

Nutz doch den Richtlinienergebissatz am DC oder lokal am Client
(rsop.msc) - nicht suchen, finden!

Ergebnissatz am DC abfragen wird ihm nichts bringen, da der Rechner ja kein Mitglied der Domain ist.

mfg
andi
DerWoWusste
DerWoWusste 03.10.2009 um 09:50:30 Uhr
Goto Top
Ah, steht ja auch oben.
Aber rsop.msc funktioniert dennoch lokal.
38873
38873 04.10.2009 um 18:33:19 Uhr
Goto Top
Die Option "Kann Kennwort nicht ändern" im Bereich "Lokale User" war das erste was ich mir angeschaut habe.
Da ist aber nichts gesetzt.

Ich weiss mitterweile das dieser User zuhause eine private Domain hat. Da diese Konstellation eh nirgendswo bei uns erlaubt ist, werde ich
da auch gar nicht mehr weiter suchen. Richtlinienergebnissatz habe ich schon gemacht. Da sind zumindest beim Domänen User keine Auffälligkeiten gewesen.
Ich schätze mal der User hat @ home zu viel rumgespielt und sich dabei selber ein Ei gelegt.

Thema erledigt.

Gruß