136752
Goto Top

Regedit Eintrag ändern als Admin

Hallo zusammen,
ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern wegen den Win10 Nummernpad.
Nun meine Frage.
Ist es möglich eine Batch Datei oder Powershell Script zu schreiben was automatisch die registry als Admin (mit meinem Benutzer und Pass) öffnet und den Eintrag:
HKEY_USERS\.DEFAULT\Control Panel\Keyboard\InitialKeyboardIndicators
von 2147483648
auf 2147483650
ändert.

Falls jemand Bedenken haben sollte bezüglich Benutzerdaten, die Batch Datei oder Powershell Script ist auf meinem USB Stick und wird nicht aus der Hand gegeben.

Danke schonmal im voraus.

Content-Key: 495931

Url: https://administrator.de/contentid/495931

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: Henere
Henere 18.09.2019 aktualisiert um 19:44:44 Uhr
Goto Top
Servus.
Einmal ändern. Pfad bzw Schlüssel exportieren in eine .reg Datei.
Auf dem nächsten Rechner reicht ein Doppelklick.

Wenn Du keine Adminrechte hast hilft ausführen als.

Grüsse Henere
Mitglied: 136752
136752 18.09.2019 um 19:48:23 Uhr
Goto Top
Okay zum exportieren und importieren hört sich schonmal gut an.
Gibt es denn eine Variante das der Benutzername und Passwort automatisch eingegeben wird also das ich quasi nur einen doppelklick machen muss und der rest wird automatisch gemacht? face-smile Bin faul face-smile)))
Mitglied: Henere
Henere 18.09.2019 um 19:59:08 Uhr
Goto Top
Klar, wenn Du die Liste aller Adminaccounts von allen PCs und Domänen hast, könnte man es durch eine "Brute-Force" durchtesten.

Macht keinen Sinn. Kommt der Stick weg, ist die Sicherheit der PCs gefährdet. Ein NOGO !!!
Mitglied: 136752
136752 18.09.2019 aktualisiert um 20:03:14 Uhr
Goto Top
ich habe einen Admin Account also es ist alles legal.
Und das Passwort muss alle 2 Wochen geändert werden (Konzernvorsachrift)
Zum Thema USB Stick es ist eig eine 1TB Externe HDD wo "unsere Admin Programme" die eh keiner bekommen sollte drauf sind.
Wir Techniker tragen die ständig bei uns dabei und lassen diese auch nicht unbeaufsichtigt. Desweiteren ist diese HDD mit Bitlocker geschützt.
Wenn es einfach nur irgendein USB Stick wäre der lose in einer Tausche rumfliegt würde ich erst gar nicht fragen weil sonst würde ich "einen aufn Sack bekommen" ^^

Edit:
Es ist lediglich eine Domäne wo ich MEINEN Admin Account habe
Mitglied: em-pie
em-pie 18.09.2019 um 20:03:44 Uhr
Goto Top
Moin,

Hängen die Clients im AD?
Wenn ja: den Key per Gruppenrichtlinie setzen lassen und gut ist..

Alles andere wäre ein wenig zu riskant, wenn der Stick mal Beine bekommen sollte..

Gruß
em-pie
Mitglied: 136752
136752 18.09.2019 um 20:09:34 Uhr
Goto Top
habe ich schon an die obersten weitergeleitet aber die halten das nicht für nötig warum auch immer.
Wir Techniker dürfen diesen Eintrag ändern daran liegt es nicht das es nicht in den GPOs gemacht wird. Warum das nicht gemacht wird kann ich mir leider auch nicht erklären. Evtl. weil noch die Umstellung von Win7 auf Win10 läuft... keine Ahnung
zum Thema Stick hatte ich ja schon was geschrieben, das dieser geschützt ist (bzw die Externe)
Mitglied: Henere
Henere 18.09.2019 um 20:09:38 Uhr
Goto Top
Er scheint ja auf Turnschuhadministration zu stehen und hat die weiteren Umstände nicht spezifiziert.
Man könnte nach den Antworten vermuten, dass es nur um PCs im eigenen (Firmen.) Netz geht.
Dann klar per GPO... oder halt per Doppelklick, wenn er eh als Admin angemeldet ist, bzw sein User lokale Adminrechte (auch durch Gruppenzugehörigkeiten) hat. Oder oder oder .... viele Wege führen nach Rom, wenn man den genauen Zweck der Reise nicht kennt, ist es schwer den richtigen Weg zu weisen.
Mitglied: em-pie
em-pie 18.09.2019 um 20:13:09 Uhr
Goto Top
Dann sag deinem Chef, er soll deine Kosten der AD-Admin-Gruppe in Rechnung stellen...
Du brauchst pro Client dafür wie lange? 1 Minute (wenn man trödelt).
Bei 60 Clients schon ne Stunde...

Die Admins brauchen nur 5 Mins und dann ist es Unternehmensweit geregelt...

Das zumindest mit dem Stand, den wir hier kennen...
Mitglied: 136752
136752 18.09.2019 aktualisiert um 20:15:48 Uhr
Goto Top
Mein derzeitiges Vorgehen:
1. User meldet sich mit seinen Daten an
2. Kontrolle der von Ihm gesichreten Daten
3. Ich führe die Registry als Admin (mit meinem User) aus und änder das
Nur wenn ich am Tag mehere PCs bearbeite ist es nervig ständig den Benutzernamen und Passwort einzutippen da beides ellenlang ist

Edit:
Ich merke schon ich bekomme hier leider keine vernümpftigen Antworten (ich will keine vorgeschriebenen Scripts haben nur einen Lösungsansatz)
also lasse ich es einfach hier weiter zu fragen und mich zu rechtfertigen...
Mitglied: Henere
Henere 18.09.2019 um 20:20:08 Uhr
Goto Top
Was genau änderst Du ?
HKLM oder HKCU ?

Wenn Du unbedingt mit hinterlegten Crendentials arbeiten musst..... schau Dir PSEXEC an.

Die Antworten machen schon Sinn, wenn man nicht den Gesamtkontext kennt.
Mitglied: 136752
136752 18.09.2019 um 20:22:27 Uhr
Goto Top
HKU also HKEY_USERS
Mitglied: em-pie
em-pie 18.09.2019 um 20:25:57 Uhr
Goto Top
Jung,

Wir wollen dir doch helfen. Da wir aber die Rahmenbedingungen nicht kennen, geben wir die bessere und sichere Lösungen als Vorschläge mit (z.B. GPO)

Andere Alternativen machen nur mehr Aufwand...

Was ggf noch ginge (ich aber nicht getestet habe)
Einmalig: geplanten Task anlegen, welcher als Systemuser ausgeführt wird und deine RegKeys setzt. Dann exportieren.
Mit einer Batch/ PS-Script dann die exportierte XML auf den Clients importieren, ausführen und wieder löschen

!!AAAber:!!
Kommt jemand an den Stick/ das Script dahinter, kann man anstelle des regKey-Setzens auch was anderes ausführen.

Es kann aber auch sein, dass du für den Import der XML ebenfalls deine Credentials eingeben musst.
Mitglied: 136752
136752 18.09.2019 um 20:32:15 Uhr
Goto Top
okay ich kanns ja nochmal versuchen ausfürlich zu beschreiben... face-smile
- ich habe eine sichere externe HDD
- ändern der GPOs ist leider keine Option
- ich habe einen Admin Account und Passwort

mein vorhaben (weil einfacher oder faul oder wie man das auch immer bezeichnen möchte):
eine datei zb ps1 oder bat
dort gespeichert ist mein username und passwort (wie gesagt bitte jetzt mal sicherheit weg lassen)
wenn ich diese datei ausführe soll halt als admin der Reg Schlüssel verändert werden.

quasi dachte ich zb an ein ps1 script was startet user und pass anwendet und entweder den reg schlüssel selber ändert oder die .reg datei ausführt (als admin)
Mitglied: Henere
Henere 18.09.2019 aktualisiert um 20:34:57 Uhr
Goto Top
Und warum hast Du dir dann auf meinen Tipp hin PSEXEC noch nicht angeschaut ?

Usage: psexec [\\computer[,computer2[,...] | @file\]][-u user [-p psswd][-n s][-r servicename][-h][-l][-s|-e][-x][-i [session]][-c executable [-f|-v]][-w directory][-d][-<priority>][-a n,n,...] cmd [arguments]

Was willste denn mehr ?
Mitglied: 136752
136752 18.09.2019 um 20:37:20 Uhr
Goto Top
ich gucke gerade ...face-smile
Mitglied: 136752
136752 18.09.2019 um 20:49:31 Uhr
Goto Top
psexec ist (wenn ich das jetzt richtig verstehe) in erster linie für remote also wenn ich von einem pc andere konfigurieren möchte.
Oder habe ich falsch gelesen?
Mitglied: em-pie
em-pie 18.09.2019 um 20:55:53 Uhr
Goto Top
Der Remoterrechner kann ja aber auch %computername% sein...
Mitglied: 136752
136752 18.09.2019 um 20:58:42 Uhr
Goto Top
ohm... stimmt face-smile
Dann werde ich das morgen mal testen...

Danke
Mitglied: 140913
140913 19.09.2019 aktualisiert um 12:31:22 Uhr
Goto Top
Für den peinlichen Vertipper im Titel gibt's den Bearbeiten Button!
Als Plain-PS Skript ohne Zusatztools (Username und Passwort anpassen sollte klar sein):
$cred = new-Object PSCredential('DOMAIN\USERNAME',(ConvertTo-SecureString 'PASSWORD' -AsPlainText -Force))  
cd $env:HOMEDRIVE\
Start-Process powershell -ArgumentList '-EP ByPass','-NoP','-C',"start powershell -Verb runas -ArgumentList '-NoP','-C','Set-ItemProperty ''REGISTRY::HKEY_USERS\.DEFAULT\Control Panel\Keyboard'' -Name InitialKeyboardIndicators -Value 2147483650';exit" -Credential $cred  
Mitglied: 136752
136752 20.09.2019 um 20:07:45 Uhr
Goto Top
geändert... sorry gar nicht aufgefallen face-smile

zum psexec das hat leider nicht so funktioniert wie ich wollte aber nicht tragisch.

@140913 werde ich montag mal testen danke schonmal