newit1
Goto Top

Verständnisfrage lokale Konten unter Windows

Hallo zusammen,

ich habe eine kleine Verständnisfrage.

Die Benutzerkonnten nach einer frischen Windows Installation sehen ungefähr so aus: (Beispielfoto)

1

Es gibt:
- einen während der Installation angelegten lokalen Admin (moinmoin)
- einen deaktivierten Gast Account
- einen deaktivierten Administrator Account
- zwei weitere Systemseitige Accounts

Frage:
Wofür soll ich den deaktivierten "Administrator" Account nutzen?
Wäre es aus Sicherheitsgründen nicht sinnvoller diesen komplett zu löschen, oder gibt es Einschränkungen hierdurch?

Ich habe ja dann immer noch den lokalen Admin Account "moinmoin".

Dasselbe mit dem "Gast" Account".


Danke für eure Hinweise.

Content-Key: 91490122077

Url: https://administrator.de/contentid/91490122077

Printed on: April 16, 2024 at 04:04 o'clock

Member: elix2k
elix2k Feb 23, 2024 at 10:33:59 (UTC)
Goto Top
Es handelt sich um den Built-In Administrator.

In einer Domain-Umgebung könnte man den Administrator-Account in Kombination mit LAPS verwenden (Zwecks Systemwiederherstellung, Reparatur etc.)

Ich würde dir auch empfehlen auf das Arbeiten mit einem lokalen Admin zu verzichten und dir für normale Tätigkeiten ein normales eingeschränktes Konto einrichten.
Member: newit1
newit1 Feb 23, 2024 updated at 10:41:13 (UTC)
Goto Top
@elix2k

Das ist mir soweit klar.
LAPS wird bei uns eingesetzt. Allerdings nicht für den Built-In Administrator sondern für ein manuell erstelltes lokales Admin Konto.

Daher meine Frage, was mit dem Built-In Account geschehen soll bzw. wie andere das handhaben.
Member: elix2k
elix2k Feb 23, 2024 at 10:41:17 (UTC)
Goto Top
Dann kannst du den entfernen.
Member: DerWoWusste
Solution DerWoWusste Feb 23, 2024 at 10:52:31 (UTC)
Goto Top
Nein, man kann den eingebauten Admin nicht entfernen.
Lass ihn deaktiviert und gut ist, das ist nicht unsicher.
Member: MayBeSec
MayBeSec Feb 23, 2024 at 11:16:00 (UTC)
Goto Top
Wieso nutzt ihr LAPS nicht in Verbindung mit der Umbenennung des Built-In-Administrators per GPO?

Einen extra Account als weiteren Admin-Account ergibt nur Sinn, wenn dieser selbst gegenüber dem Standardaccount in seinen Rechten beschränkt würde.
Member: newit1
newit1 Feb 23, 2024 updated at 11:33:15 (UTC)
Goto Top
@MayBeSec

Grundsätzlich würde das Sinn machen, da hast du Recht.

Ich habe den Built-In Administrator zusätzlich umbenannt.
Nur die SID dieses Accounts ist per Default immer die gleiche. Daher der zusätzliche Benutzer.
Member: Mombro
Mombro Feb 25, 2024 at 19:37:44 (UTC)
Goto Top
Es bringt keinen Sicherheits Zugewinn, den Account umzubenennen oder ähnliches. Deaktivieren reicht.