Lokalen Administrator löschen

[eule 10]

Hallo,

habe folgendes Problem: Ich möchte den lokalen Administrator

einer XP Workstation löschen. ( Rechner ist in einer Domäne)

[Velius 10]

Das geht nicht, das ist ein Built-in account, und solche kannst du nicht löschen, aber du kannst ihne z.B. aus der Gruppe Administratoren entfernen.

[steffchen 10]

Hallo!

Du kannst ihn aber deaktivieren.

 

Gruß

Stefan

[Velius 10]

......oder so! Aber nicht wirklich Empfehlenswert.

[gysinma1 13]

...Hallo

 

Das ist riskant. Es ist natürlich möglich auch das Passwort mit dem Tool cusrmgr (Reskit) zu verschlüsseln und den Account völlig dicht zu machen.

 

Das macht jedoch alles wenig Sinn. Ich würde eher vorsehen, den Account von Administrator in ein kryptischen Account ala kljsakjsdsajsakj umbenennen und auch ein kryptisches Passwort setzen.

 

Es gibt wenig Möglichkeiten einen Rechner zu administrieren, wenn aus irgendwelchen Gründen, die Domain nit mehr funzt.

 

Gruss,

 

 

Matthias

[steffchen 10]

Das stimmt wohl!

[eule 10]

Hallo,

erst mal Danke.

Aber:.... aus der Gruppe der Administratoren bekomme ich den Admin nicht raus.

Deaktivieren ist nicht so der Hit den wenn ich mit Tools arbeite (Winternals & CO) setzte ich das PW um und der Account wird aktiviert.

Den Administartor Umbenenn ist auch keine Lösung den diese Tools arbeiten über die ID und nicht den Namen.

Ich habe aber einen anderen Tipp bekommen: Es gibt die möglichkeit eine Police zu ziehen die das Anmelden des Admin unterbindet.

[grizzly999 11]

Hmm, ich frage mich, was ist eigentlich der Hintergrund dieser Anforderung?

Ein "todsicheres" Kennwort für den Admin, und gut is' ..... IMHO

 

grizzly999

[eule 10]

Hintergrund ist der:

Wir haben eine kleines Netzwerk in dem sich Azubis ohne Aufsicht

Tummeln.

Nicht ist einfacher als den lokalen Admin zurückzusetzen und schon kann ich alles installieren, oder auf alle Dateien zugreifen.

[grizzly999 11]

Nicht ist einfacher als den lokalen Admin zurückzusetzen

Doch. Ein sicheres Kennwort, dass nur wenige/einer kennt(en) :wink2:

 

 

grizzly999

[Velius 10]

Wenn's du ganz krass haben möchtest kannst du ja auf Tools von RSA oder Smartcard zurückgreifen..... ;)

[klausk 10]

Original geschrieben von grizzly999

Doch. Ein sicheres Kennwort, dass nur wenige/einer kennt(en) :wink2:

Sorry dass ich widerspreche, aber mit der richtigen Boot-Diskette hilft auch das nicht. Dann lässt sich das Admin-PW auch ohne Kenntnis des aktuellen PW ändern.

 

@eule

Schreib doch ein Skript, dass über die lokale Gruppenrichtlinie gestartet wird und den Admin bei der Anmeldung sofort wieder abmeldet ...

[DocBrown 10]

Hi folks,

 

als erstes würde ich mir Gedanken machen, wie ich das Booten von USB, CDROM etc. unterbinden kann, denn was nützt ein kryptisches PW, wenn die findigen Azubis z. B. den ERD-Commander starten können und so sämtliches Bemühen um den lokalen Admin umschiffen :D ...

 

Gruß aus der Löwenstadt

DocBrown

[Zomby 10]

Original geschrieben von DocBrown

Hi folks,

 

als erstes würde ich mir Gedanken machen, wie ich das Booten von USB, CDROM etc. unterbinden kann, denn was nützt ein kryptisches PW, wenn die findigen Azubis z. B. den ERD-Commander starten können und so sämtliches Bemühen um den lokalen Admin umschiffen :D ...

 

Gruß aus der Löwenstadt

DocBrown

 

Da geb ich dir Recht. das CD-Rom wär das geringer Problem, aber USB lässt sich nicht ausbauen und ein Bios PW weg zu bekommen is ja leider auch kein Prob.

[grizzly999 11]

Original geschrieben von klausk

Sorry dass ich widerspreche, aber mit der richtigen Boot-Diskette hilft auch das nicht. Dann lässt sich das Admin-PW auch ohne Kenntnis des aktuellen PW ändern.

Okay, mit solchen krassen Methoden, ja.

Aber dem ist schnell (bei der vorgeschlagenen Verwendung von sicheren Kennwörten) schnell ein Riegel vorgeschoben:

Strikte Anweisung, keine Bootmedien ö.ä. zu verwenden. Bei Verstoß sofortige Kündigung aus Sicherheitsgründen -> es warten noch nageblich 30.000 Jugendliche auf eine Stelle :D ;)

Stichprobenartige Kontrolle.

 

grizzly999