Jump to content

local admin / Anmeldung verweigern / ausführen als


shuter

Recommended Posts

Hallo zusammen

Ich habe einen User "admin" als localadmin angelegt. Der User ist also in der lokalen Gruppe "Administratoren".

 

Die Person die mit dem Rechner arbeitet soll mit dem nicht LoclAdmin User arbeiten. Das wäre dann der lokale User "Hans".

Wenn der User "Hans" erhöhte Rechte braucht soll er sich mit dem User "admin" anmelden. 

 

Um zu verhindern, dass die Person grad von Anfang an mit dem User "admin" einloggt und so arbeitet, habe ich das Konto "admin" via Registrierung ausgeblendet.

„HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList“. Hier einen DWORD32 Eintrag "admin" erstellt.

Der User "admin" wird vor dem Logon nun nicht mehr angezeigt.

 

Wenn ich jetzt mit dem User "Hans" anmelde und zum Beispiel regedit als Administrator ausführe wird mir der lokale User "admin" nicht angezeigt. Ich habe auch keine Möglichkeit Username und Passwort einzugeben. Ich kann nur User auswählen, nicht aber User "admin".

 

Wenn ich die regedit.exe suche, mit gedrückter Umschalttaste und CTRL Teste rechtklicke, gibt es einen Eintrag im Contextmenu "als anderen Benutzer starten"

 

Wie kriege ich es hin, dass das Dialogfenster mit Eingabe von Benutzername und Passwort angezeigt wird wenn ich Regedit als "Administrator ausführen" wähle"

 

 

Infos:

OS ist Win10 2004

Rechner ist nicht Mitglied einer Domain.

 

Danke für Hilfe und Tipps

 

Gruss Sascha

Link to post

Ausblenden ist halt ausblenden, das gilt systemweit.

 

Hier kann man für den User Admin gescheite Passwörter verwenden und der User kann sich nur bei Kenntnis derselben mit dem User Admin anmelden bzw diesen verwenden.

 

Grüsse

 

Gulp

Link to post

Hi Gulp

Danke für den Hinweis. 

Es ist mir bewusst, dass Ausblenden gleich Ausblenden Systemweit heisst. Ich dachte halt ich frag mal nach ob das geht wenn der Client nicht in einer Domain ist.

Ist er in der Domain, dann ist das möglich. 

 

Braucht ein User erhöhte Rechter kommt immer eine Benutzer / Passwort Abfrage wo ich etwas reinschreiben kann.

Warum das nur in einer Domain möglich ist finde ich komisch und darum die Frage.

 

Gruss

 

 

Link to post
vor 11 Stunden schrieb NilsK:

Der ganze Ansatz ist doch unsinnig. Wenn der User das Kennwort für den Admin hat, dann ist er Admin. Das Versteckspiel kannst du dir sparen.

Das sehe ich genauso. Und wenn Hans halbwegs intelligent ist und fähig ist Google zu benutzen, kostet es ihn 5 Minuten, um herauszufinden, wie man den admin wieder einblendet. Und wenn er dann noch einen Moment weiter überlegt, erkennt er, dass er das gar nicht braucht. Er macht mit dem User admin einfach sein Konto "Hans" auch zum admin und ist aller Sorgen ledig.  ;-) 

 

Security through obscurity funktioniert einfach nicht wirklich.

Edited by BOfH_666
Link to post

Tja für diese Fälle hilft halt nur eines: Sensibilisierung der Mitarbeiter. Da führt kein Weg daran vorbei.

Das heisst in diesem Fall: klar machen das mit dem normalen User gearbeitet wird und wenn er wirklich den Admin braucht, dann meldet er sich damit an. Und nur dann.

 

Wobei in den allermeisten Fällen so oder so darauf verzichtet werden kann einem User generell Admin-Rechte zu gewähren. Die Spezialfälle lassen sich fast alle - zugegebenermassen teilweise mit hohem Aufwand - z.Bsp. mit Tasks oder der Rechtevergabe etc. erschlagen. Oft benötigt auch einfach eine Komponente einer Software die erhöhten Rechte. In der Regel bei älterer Software der Fall. Das kriegt man sehr oft mit eigenen Programm-Kompatibilitäts-Definitionen auf die Reihe. Halt auch wieder mit Aufwand.

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...