2
Nachtrag zu Thread "User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt"
Hallo,
der Thread User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt ist ja nun schon geschlossen.
Wollte aber noch was dazu loswerden.
Mein Kommentar in dem Thread war, dass der deaktivierte Originaladministrator im abgesicherten Modus automatisch aktiv ist.
Das ist auch so, ich hab das eben nochmal mit einem frisch installiertem Windows 10 Pro 20H2 durchgespielt.
Es müssen aber folgende Voraussetzungen erfüllt sein:
Ist der PC Mitglied einer Domäne, sieht es ganz anders aus. Dann wird der Originaladministrator auch im abgesicherten Modus NIEMALS aktiv, auch nicht, wenn außer ihm keiner mehr in der lokalen Gruppe Administratoren ist. Standardmäßig ist nach Domänenaufnahme die Gruppe Domänen-Admins Mitglied der lokalen Gruppe Administratoren.
Entfernt man diese und auch alle anderen evtl. in der Gruppe befindlichen User/Gruppen (den Originaladministrator kann man nicht entfernen), dann hat man sich wirklich komplett ausgesperrt.
Startet man den PC mit der Option "Starthilfe", sieht das z.B. so aus:
Gruß
Martin
der Thread User Adminrechte entzogen, Administrator aber inaktiv - ausgesperrt ist ja nun schon geschlossen.
Wollte aber noch was dazu loswerden.
Mein Kommentar in dem Thread war, dass der deaktivierte Originaladministrator im abgesicherten Modus automatisch aktiv ist.
Das ist auch so, ich hab das eben nochmal mit einem frisch installiertem Windows 10 Pro 20H2 durchgespielt.
Es müssen aber folgende Voraussetzungen erfüllt sein:
- Es gibt außer dem (deaktivierten) Originaladministrator keinen weiteren User in der Gruppe Administratoren
- Der PC ist NICHT Mitglied einer Domäne
Ist der PC Mitglied einer Domäne, sieht es ganz anders aus. Dann wird der Originaladministrator auch im abgesicherten Modus NIEMALS aktiv, auch nicht, wenn außer ihm keiner mehr in der lokalen Gruppe Administratoren ist. Standardmäßig ist nach Domänenaufnahme die Gruppe Domänen-Admins Mitglied der lokalen Gruppe Administratoren.
Entfernt man diese und auch alle anderen evtl. in der Gruppe befindlichen User/Gruppen (den Originaladministrator kann man nicht entfernen), dann hat man sich wirklich komplett ausgesperrt.
Startet man den PC mit der Option "Starthilfe", sieht das z.B. so aus:
Gruß
Martin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 633538
Url: https://administrator.de/contentid/633538
Printed on: April 26, 2024 at 08:04 o'clock
2 Comments
Latest comment
Ich sach mal auf Windows 10 / 7 Home kann man sich mit dem Kioskmodus oder dem Autologin für einen User natürlich ins Abseits schießen. Unter Windows 7 gibts Tools mit denen man das im Handumdrehen wieder hinkriegt, bei Windows 10 ist das schon sehr viel komplizierter, aber auch nicht komplett unmöglich, es sei denn der PC ist auch noch mit Bitlocker geschützt.
Wenn der PC Mitlgied einer Domäne ist ist er auch über ein Mitglied der Domain-Admins administrierbar. Es sein denn in der Domäne sind auch alle Domain Admins deaktiviert, das ist aber ein Ding der Unmöglichkeit oder der PC ist so kaputtkonfiguriert, daß er kein Domänenlogin zuläßt. Ein Intel Desktopadapter bzw eine E1000 gehört deshalb in jeden WErkzeigkaste, weil die auch im aggesicherten Modus erkannt wird und einen Domänenlogin eigentlich ermöglichen sollte.
Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist ist er nur dann "verloren" wenn er kein Netz hat oder ohnehin einer Neuionstallation bedarf.
Wenn der PC Mitlgied einer Domäne ist ist er auch über ein Mitglied der Domain-Admins administrierbar. Es sein denn in der Domäne sind auch alle Domain Admins deaktiviert, das ist aber ein Ding der Unmöglichkeit oder der PC ist so kaputtkonfiguriert, daß er kein Domänenlogin zuläßt. Ein Intel Desktopadapter bzw eine E1000 gehört deshalb in jeden WErkzeigkaste, weil die auch im aggesicherten Modus erkannt wird und einen Domänenlogin eigentlich ermöglichen sollte.
Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist ist er nur dann "verloren" wenn er kein Netz hat oder ohnehin einer Neuionstallation bedarf.
Zitat von @GrueneSosseMitSpeck:
Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist
Außer man entfernt sie aus der Gruppe Da die Domain admins IMMER Mitglieder der lokalen Gruppe "Administatoren" ist
Nein, schon klar. Es ging ja nur darum, zu verdeutlichen, dass sich das System anders verhält, je nachdem, ob es Mitglied einer Domäne ist oder nicht.
Nicht-Domänenmiglied: Originaladministrator wird im abgesicherten Modus automatisch aktiv, wenn er der letzte vorhandene Administrator ist.
Domänenmitglied: Originaladministrator wird niemals automatisch aktiv.