mhuelse
23.05.2021
view3678
view8
0
Goto Top

Mit secpol.msc eine falsche policy angepasst und ausgesperrt

gelöstFrageMicrosoftWindows Userverwaltung
Mithilfe des secpol.msc (Lokale Sicherheitsrichtline) unter dem Eintrag "Lokalen Richtlinien" und den "Sicherheitsoptionen" habe ich ausversehen eine falsche Policy verändert und zwar diese hier: "Interaktive Anmeldung: Windows Hello for Business oder Smartcard erforderlich" (eigentlich wollte ich die Einstellung für "Zuletzt angemeldeten Benutzer nicht anzeigen" verändern, aber da hatte ich mich wohl um eine Zeile vertan.) Seitdem kann sich keiner mehr lokal an diesem Windows 10 20H2 Rechner anmelden.
Gibt es eine Möglichkeit via Konsole, Regedit, etc. diese Einstellung rückgängig zu machen, bzw. alle policys auf "default zurückzustellen.
Vielen Dank Mathias
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 667002

Url: https://administrator.de/forum/mit-secpol-msc-eine-falsche-policy-angepasst-und-ausgesperrt-667002.html

Ausgedruckt am: 06.04.2025 um 00:04 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
148121
Lösung 148121 23.05.2021 aktualisiert um 08:27:17 Uhr
Goto Top
Mit Offline-Medium booten z.B. mit dem Installationsmediumoder nem Knoppix oder anderen Live-Systemen und dann im Ordner der Windows Installation das registry pol File im Ordner \windows\system32\GroupPolicy\Machine löschen
Zusätzlich unter windows\security\Database das File secedit.sdb
https://windowsreport.com/full-fix-corrupt-local-group-policy-on-windows ...

Gruß w.
Doskias
Doskias 23.05.2021 um 20:08:40 Uhr
Goto Top
Hab das hier grade gelesen und eine andere Idee gehabt und würde gerne wissen ob meine IDee auch geklappt hätte. Vielleicht weiß das ja jemand.

1. hätte man die beiden DAteien nicht einfach per Skript beim Systemstart löschen können?

2. Die Änderung per Secpol.msc macht ja unterm strich auch nichts anderes als Registry-Keys zu steuern. Hätte man die Registry KEys nicht einfach ebenfalls per GPO entsprechen setzen können?

Wenn das ging, wäre es für mich deutlich einfacher, falls mir das mal passiert als erstmal Knoppix zu organisieren.

Gruß
Doskias
148121
148121 23.05.2021 aktualisiert um 20:26:21 Uhr
Goto Top
Zitat von @Doskias:

1. hätte man die beiden DAteien nicht einfach per Skript beim Systemstart löschen können?
Wie wenn du dich nicht anmelden kannst 🙃.
Außer man hat vorgesorgt und noch einen Remote-Zugang.
2. Die Änderung per Secpol.msc macht ja unterm strich auch nichts anderes als Registry-Keys zu steuern.
Nein, indem Fall nicht, die meisten local security policy settings landen nicht in der Registry sondern in einer File DB (s.o.).
Hätte man die Registry KEys nicht einfach ebenfalls per GPO entsprechen setzen können?
Wenn das Teil denn per GPO gemanaged wäre, aber davon schreibt der TO ja nichts. Denke das wüsste er dann selbst wenn er ein AD betreiben würde.
Doskias
Doskias 23.05.2021 um 20:52:30 Uhr
Goto Top
Zitat von @148121:
Zitat von @Doskias:
1. hätte man die beiden DAteien nicht einfach per Skript beim Systemstart löschen können?
Wie wenn du dich nicht anmelden kannst 🙃.
Außer man hat vorgesorgt und noch einen Remote-Zugang.

Per GPO sofortigen Task als System-Benutzer oder geplanter Task beim Systemstart, nicht bei der Anmeldung. Beim Systemstart wird dann vor der Anmeldung ausgeführt.

2. Die Änderung per Secpol.msc macht ja unterm strich auch nichts anderes als Registry-Keys zu steuern.
Nein, indem Fall nicht, die meisten local security policy settings landen nicht in der Registry sondern in einer File DB (s.o.).
ok, danke. Wieder was gelernt.

Hätte man die Registry KEys nicht einfach ebenfalls per GPO entsprechen setzen können?
Wenn das Teil denn per GPO gemanaged wäre, aber davon schreibt der TO ja nichts. Denke das wüsste er dann selbst wenn er ein AD betreiben würde.

Schönen Sonntag noch
148121
148121 24.05.2021 aktualisiert um 08:05:46 Uhr
Goto Top
Zitat von @Doskias:
Per GPO sofortigen Task als System-Benutzer oder geplanter Task beim Systemstart, nicht bei der Anmeldung. Beim Systemstart wird dann vor der Anmeldung ausgeführt.
Joa, klar , da der TO hier aber lokal am Client rumfutelt denke ich ist ein AD wohl in weiter Ferne 😜
Aber für den TO hat sich das hier ja anscheinend eh schon erledigt, kommt ja kein Feedback mehr.
Doskias
Doskias 24.05.2021 um 09:52:08 Uhr
Goto Top
Zitat von @148121:

Zitat von @Doskias:
Per GPO sofortigen Task als System-Benutzer oder geplanter Task beim Systemstart, nicht bei der Anmeldung. Beim Systemstart wird dann vor der Anmeldung ausgeführt.
Joa, klar , da der TO hier aber lokal am Client rumfutelt denke ich ist ein AD wohl in weiter Ferne 😜
Aber für den TO hat sich das hier ja anscheinend eh schon erledigt, kommt ja kein Feedback mehr.

Stimmt. Mir ging es aber auch darum das Gesamtbild zu klären, da er ja auch schreibt
Gibt es eine Möglichkeit via Konsole, Regedit, etc. diese Einstellung rückgängig zu machen
GPO ist ja auch eine Möglichkeit und (kenne ich persönlich) manche Leute richten trotz GPO an einzelnen Rechner per SECPOl.MSC Dinge ein, wenn sie es nur auf einem Rechner haben wollen, weil Sie Einzelplatz.Einstellungen nicht in den GPOs sehen wollen. Für beide Seite gibt es argumente face-wink

Und da es sich offenbar um mehrere User handelt, die sich nicht mehr lokal anmelden können, wäre es Zeit über eine Domäne nachzudenken, falls es wirklich keine gibt.
mhuelse
mhuelse 26.05.2021 um 14:41:57 Uhr
Goto Top
Hallo zusammen, danke für das Feedback! Das Problem ist/war, dass ich weder einen remote Zugang/Konto noch ein AD zur Verfügung hatte um mich irgendwie an das lokale Win10 20H2 System anmelden zu können. Die Sicherheitsrichtlinien sind, soweit ich das in Erfahrung bringen konnte, nicht per File System Zugriff und entsprechender Registry files/settings zu "umgehen".
Ich habe das System mittlerweile in eine VM geschoben und den Rechner neu aufgesetzt... An der VM kann ich dann weiter "rumdoktorn" und vielleicht noch ein paar neue Erkentnisse gewinnen.
148121
148121 26.05.2021 um 14:52:41 Uhr
Goto Top
Die Sicherheitsrichtlinien sind, soweit ich das in Erfahrung bringen konnte, nicht per File System Zugriff und entsprechender Registry files/settings zu "umgehen".
Doch, s. oben face-smile.
gelöstFrageMicrosoftWindows Userverwaltung
Mehr von mhuelsemhuelseWie kann ich die ProzessID, eines laufenden Programms, in einer einzeiligen FOR Schleife herausfinden?mhuelse - 13 KommentaremhuelseZeilenanzahl einer Datei ermitteln und einer Variable zuordnen womit später beim choice Befehl Auswahloptionen gesetzt werden sollenmhuelse - 6 KommentaremhuelseMediaServer, Mediabolicmhuelse - 2 KommentaremhuelsePing Statistik in ein Logfile wegschreibenmhuelse - 12 Kommentare
Heiß diskutiert
kreuzbergerUbuntu 24 Desktop 64Bit Installation bleibt stehenkreuzberger - 42 KommentareU08154711Firewall Regeln für TravelrouterU08154711 - 34 Kommentareds6.euDoppelmoral?ds6.eu - 30 KommentarekpunktWelche Applikation will nach 199.59.243.228?kpunkt - 23 KommentareDerWoWussteImport eines p12-Zertifikates auf einen YubikeyDerWoWusste - 20 KommentarekpunktMicrosoft entfernt BypassNRO.cmdkpunkt - 19 Kommentareem-pieVMware: Mindestens 72 Cores für Lizenzierung erforderlichem-pie - 18 KommentareanteNopeVeeam Agent on-VM-Backup?anteNope - 16 Kommentaretouro411PFsense Outbound NAT (S-NAT)touro411 - 16 KommentareMegaadwwhOPNSense, Proxmox, eine weitere Firewall, Ubiquiti, Cisco und NetgearMegaadwwh - 15 KommentareitstrueSync Windows Folder zu Webdavitstrue - 15 KommentarecoltseaversDebian Linux Fileserver mit ZFS, openZFS oder BTRFS?coltseavers - 15 KommentarekreuzbergerTrueNAS-13.3-U1.1, Plugin Installation schlägt fehlkreuzberger - 15 Kommentare