albertminrich
Goto Top

Nachtrag zu Thread "User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt"

Hallo,

der Thread User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt ist ja nun schon geschlossen.
Wollte aber noch was dazu loswerden.

Mein Kommentar in dem Thread war, dass der deaktivierte Originaladministrator im abgesicherten Modus automatisch aktiv ist.
Das ist auch so, ich hab das eben nochmal mit einem frisch installiertem Windows 10 Pro 20H2 durchgespielt.
Es müssen aber folgende Voraussetzungen erfüllt sein:
  • Es gibt außer dem (deaktivierten) Originaladministrator keinen weiteren User in der Gruppe Administratoren
  • Der PC ist NICHT Mitglied einer Domäne
Wenn diese Voraussetzungen erfüllt sind, dann funktioniert das, dann kann man sich im abgesicherten Modus mit dem Originaladministrator sogar ohne Passwort anmelden (natürlich nur, wenn man für den noch keines vergeben hat, aber wer macht das schon, ist ja eh deaktiert).

Ist der PC Mitglied einer Domäne, sieht es ganz anders aus. Dann wird der Originaladministrator auch im abgesicherten Modus NIEMALS aktiv, auch nicht, wenn außer ihm keiner mehr in der lokalen Gruppe Administratoren ist. Standardmäßig ist nach Domänenaufnahme die Gruppe Domänen-Admins Mitglied der lokalen Gruppe Administratoren.
Entfernt man diese und auch alle anderen evtl. in der Gruppe befindlichen User/Gruppen (den Originaladministrator kann man nicht entfernen), dann hat man sich wirklich komplett ausgesperrt.
Startet man den PC mit der Option "Starthilfe", sieht das z.B. so aus:
starthilfe

Gruß
Martin

Content-ID: 633538

Url: https://administrator.de/forum/nachtrag-zu-thread-user-adminrechte-entzogen-administrator-aber-inaktiv-ausgesperrt-633538.html

Ausgedruckt am: 26.12.2024 um 20:12 Uhr

GrueneSosseMitSpeck
GrueneSosseMitSpeck 20.12.2020 aktualisiert um 13:18:02 Uhr
Goto Top
Ich sach mal auf Windows 10 / 7 Home kann man sich mit dem Kioskmodus oder dem Autologin für einen User natürlich ins Abseits schießen. Unter Windows 7 gibts Tools mit denen man das im Handumdrehen wieder hinkriegt, bei Windows 10 ist das schon sehr viel komplizierter, aber auch nicht komplett unmöglich, es sei denn der PC ist auch noch mit Bitlocker geschützt.

Wenn der PC Mitlgied einer Domäne ist ist er auch über ein Mitglied der Domain-Admins administrierbar. Es sein denn in der Domäne sind auch alle Domain Admins deaktiviert, das ist aber ein Ding der Unmöglichkeit oder der PC ist so kaputtkonfiguriert, daß er kein Domänenlogin zuläßt. Ein Intel Desktopadapter bzw eine E1000 gehört deshalb in jeden WErkzeigkaste, weil die auch im aggesicherten Modus erkannt wird und einen Domänenlogin eigentlich ermöglichen sollte.

Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist ist er nur dann "verloren" wenn er kein Netz hat oder ohnehin einer Neuionstallation bedarf.
AlbertMinrich
AlbertMinrich 20.12.2020 aktualisiert um 16:12:23 Uhr
Goto Top
Zitat von @GrueneSosseMitSpeck:
Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist
Außer man entfernt sie aus der Gruppe face-wink
Nein, schon klar. Es ging ja nur darum, zu verdeutlichen, dass sich das System anders verhält, je nachdem, ob es Mitglied einer Domäne ist oder nicht.

Nicht-Domänenmiglied: Originaladministrator wird im abgesicherten Modus automatisch aktiv, wenn er der letzte vorhandene Administrator ist.

Domänenmitglied: Originaladministrator wird niemals automatisch aktiv.