albertminrich
19.12.2020
view1797
view2
0
Goto Top

Nachtrag zu Thread "User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt"

FrageMicrosoftWindows 10
Hallo,

der Thread User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt ist ja nun schon geschlossen.
Wollte aber noch was dazu loswerden.

Mein Kommentar in dem Thread war, dass der deaktivierte Originaladministrator im abgesicherten Modus automatisch aktiv ist.
Das ist auch so, ich hab das eben nochmal mit einem frisch installiertem Windows 10 Pro 20H2 durchgespielt.
Es müssen aber folgende Voraussetzungen erfüllt sein:
  • Es gibt außer dem (deaktivierten) Originaladministrator keinen weiteren User in der Gruppe Administratoren
  • Der PC ist NICHT Mitglied einer Domäne
Wenn diese Voraussetzungen erfüllt sind, dann funktioniert das, dann kann man sich im abgesicherten Modus mit dem Originaladministrator sogar ohne Passwort anmelden (natürlich nur, wenn man für den noch keines vergeben hat, aber wer macht das schon, ist ja eh deaktiert).

Ist der PC Mitglied einer Domäne, sieht es ganz anders aus. Dann wird der Originaladministrator auch im abgesicherten Modus NIEMALS aktiv, auch nicht, wenn außer ihm keiner mehr in der lokalen Gruppe Administratoren ist. Standardmäßig ist nach Domänenaufnahme die Gruppe Domänen-Admins Mitglied der lokalen Gruppe Administratoren.
Entfernt man diese und auch alle anderen evtl. in der Gruppe befindlichen User/Gruppen (den Originaladministrator kann man nicht entfernen), dann hat man sich wirklich komplett ausgesperrt.
Startet man den PC mit der Option "Starthilfe", sieht das z.B. so aus:
starthilfe

Gruß
Martin
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 633538

Url: https://administrator.de/contentid/633538

Ausgedruckt am: 24.11.2024 um 05:11 Uhr

2 Kommentare
Neuester Kommentar
Goto Top
GrueneSosseMitSpeck
GrueneSosseMitSpeck 20.12.2020 aktualisiert um 13:18:02 Uhr
Goto Top
Ich sach mal auf Windows 10 / 7 Home kann man sich mit dem Kioskmodus oder dem Autologin für einen User natürlich ins Abseits schießen. Unter Windows 7 gibts Tools mit denen man das im Handumdrehen wieder hinkriegt, bei Windows 10 ist das schon sehr viel komplizierter, aber auch nicht komplett unmöglich, es sei denn der PC ist auch noch mit Bitlocker geschützt.

Wenn der PC Mitlgied einer Domäne ist ist er auch über ein Mitglied der Domain-Admins administrierbar. Es sein denn in der Domäne sind auch alle Domain Admins deaktiviert, das ist aber ein Ding der Unmöglichkeit oder der PC ist so kaputtkonfiguriert, daß er kein Domänenlogin zuläßt. Ein Intel Desktopadapter bzw eine E1000 gehört deshalb in jeden WErkzeigkaste, weil die auch im aggesicherten Modus erkannt wird und einen Domänenlogin eigentlich ermöglichen sollte.

Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist ist er nur dann "verloren" wenn er kein Netz hat oder ohnehin einer Neuionstallation bedarf.
AlbertMinrich
AlbertMinrich 20.12.2020 aktualisiert um 16:12:23 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist
Außer man entfernt sie aus der Gruppe face-wink
Nein, schon klar. Es ging ja nur darum, zu verdeutlichen, dass sich das System anders verhält, je nachdem, ob es Mitglied einer Domäne ist oder nicht.

Nicht-Domänenmiglied: Originaladministrator wird im abgesicherten Modus automatisch aktiv, wenn er der letzte vorhandene Administrator ist.

Domänenmitglied: Originaladministrator wird niemals automatisch aktiv.
FrageMicrosoftWindows 10
Mehr von AlbertMinrichAlbertMinrichExcel mit VBS füllen aus AufgabenplanungAlbertMinrich - 9 KommentareAlbertMinrichDomänen CA Logging für AutoenrollmentAlbertMinrich - 5 KommentareAlbertMinrichGPO Computerstartscript UAC blockiertAlbertMinrich - 5 KommentareAlbertMinrichPowershell get-befehl - Ausgabe erst am EndeAlbertMinrich - 2 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareSarekHLLegaler Einsatz vom M365 Family in Business-UmgebungSarekHL - 11 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 11 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 Kommentare