Teppichmaler 0 Geschrieben 23. Juli 2014 Melden Geschrieben 23. Juli 2014 Hallo Zusammen Nach langem mitlesen und vielen gefundenen Lösungen bei euch, bin ich bei dieser Frage bis jetzt noch nicht fündig geworden. Ich habe in einer SBS2011 und ca. 40 Win7 und 5 Win8 Clients. Nun soll ich auf allen Clients das Admin Passwort ändern. Das Problem dabei ist, das ein MS-Patch die Änderung per GPO verunmöglicht hat. Ich habs dann per pspasswd.exe versucht, bin aber gescheitert. Ich bin jetzt auf der Suche nach anderen Möglichkeiten. Habt ihr da andere Möglichkeiten um sowas zu ändern? oder wie geht ihr mit diesem Thema um? Grüsse Teppichmaler
NorbertFe 2.277 Geschrieben 23. Juli 2014 Melden Geschrieben 23. Juli 2014 Dann deinstallier den einen Patch auf dem SBS und konfigurier es per GPP. Immer noch besser so als das per Batch oder sonstigem Kram zu regeln. Wenn man viel Zeit und Lust hat, dann siehe hier: http://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789#content (Wollt ich eigentlich schon lange mal machen ;)) Bye Norbert
daabm 1.428 Geschrieben 23. Juli 2014 Melden Geschrieben 23. Juli 2014 ...und wenn das nur ein "One time task" ist: Schau Dir psexec mal genauer an...
Teppichmaler 0 Geschrieben 24. Juli 2014 Autor Melden Geschrieben 24. Juli 2014 Danke für die schnellen Antworten. Ich werde es jetzt so versuchen, dass ich einen Domänenaccount mit Lokalen Adminrechten einrichte (für Support und so...) und dann das Lokale Adminkonto mit einem Random Passwort versehe, so wie in Norberts link.
Daniel -MSFT- 129 Geschrieben 24. Juli 2014 Melden Geschrieben 24. Juli 2014 (bearbeitet) Gute Idee. Aber mach den nur zum lokalen Admin, nicht zum Domänenadmin. Domänenadmins sind nur zum Anmelden an Domänencontrollern da. Der Grund für das Abschalten der GPP-Funktion liegt darin, das das Passwort zwar verschlüsselt abgespeichert wird, der private Schlüssel aber von uns im Rahmen juristischer Auflagen als Schnittstelle dokumentiert werden musste: http://msdn.microsoft.com/de-de/library/cc422924.aspx Das ist einfach auszulesen und gut zu dekodieren: http://blog.csnc.ch/2012/04/exploit-credentials-stored-in-windows-group-policy-preferences/ Deswegen warnen wir vor dem Einsatz der Funktion schon seit Jahren: http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx Mit MS14-025 haben wir die Funktion deaktiviert: http://support.microsoft.com/kb/2962486 Die ganze Funktion stammt von den früheren Entwicklern von PolicyMaker und war schon im Produkt enthalten, als wir es übernommen hatten. Alternative Ansätze findest Du hier: http://www.darkreading.com/risk/managing-the-local-admin-password-headache/d/d-id/1139373? Ich war immer ein Fan von Passgen: http://blogs.technet.com/b/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx bearbeitet 24. Juli 2014 von Daniel -MSFT- 1
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden