yell-ing
Goto Top

Ändern des Passwortes eines Lokalen Admins über GPO

Hallo Leute,

ich bin neu in der Firma und werde die Administration bald übernehmen. Auf allen Clientrechnern wurde ein zusätzlicher Admin Account eingerichtet.
Da das passwort dafür schon im Umlauf ist, würde ich es gerne ändern und das möglichst ohne mich bei 100 Pcs anzumelden.
Ich weiß das man das Passwort des Lokalen Administrator Accounts per GPO ändern kann. Geht dies auch mit einem anderen Lokalen Account? Und wenn ja wie?

Content-Key: 270175

Url: https://administrator.de/contentid/270175

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: BBfreak
BBfreak 24.04.2015 um 15:27:16 Uhr
Goto Top
Hallo Yell-ing,

es geht genau gleich. Gruppenrichtlinie erstellen mit Computer-Richtlinie - Einstellungen - Systemsteuerung - Lokale Benutzer.

Dort Neu - Lokaler Benutzer:

Aktion: Aktualisieren.
Benutzername: admin
Kennwort: NeuesPW123

Dies dann auf alle clients anwenden lassen.

Gruß
BBfreak
Mitglied: Yell-ing
Yell-ing 24.04.2015 um 15:52:53 Uhr
Goto Top
Danke für die schnelle Antwort.

Das Problem was ich an dieser Stelle habe, ist das die 2 Passwort Felder ausgegraut sind. Hab ich was übersehen?
Mitglied: BBfreak
BBfreak 24.04.2015 um 16:13:50 Uhr
Goto Top
das kommt bei mir nur wenn ich oben bei "Aktion" auf Löschen stelle.
Mitglied: DerWoWusste
Lösung DerWoWusste 24.04.2015, aktualisiert am 27.04.2015 um 09:06:45 Uhr
Goto Top
BBFreak, aktualisiere mal Deine Rechner. Microsoft hat diese Funktionalität schon vor geraumer Zeit weggepatcht, da sie unfassbar unsicher war. Vielleicht die schlimmste Sicherheitslücke, die es in Windows je gab, denn das auf diese Weise verteilte Kennwort steht in entschlüsselbarer Form in der GPO drin und der Schlüssel steht Plaintext im Technet...

Yell-Ing: Deaktiviere den lokalen Admin, man braucht ihn eh nicht in einer Domäne. Wenn Du ihn unbedingt haben willst, schau Dir dies an http://blogs.technet.com/b/askpfeplat/archive/2014/05/19/how-to-automat ... - dort steht, was zu tun ist und warum. MS hat ein Tool bereitgestellt, mit dem das sehr einfach geht.

Oder mein Konzept nutzen, das ist noch bequemer: Sicherer Umgang mit Supportkonten
Mitglied: SarekHL
SarekHL 25.04.2015 um 07:55:04 Uhr
Goto Top
Zitat von @DerWoWusste:

BBFreak, aktualisiere mal Deine Rechner. Microsoft hat diese Funktionalität schon vor geraumer Zeit weggepatcht, da sie unfassbar unsicher war. Vielleicht die schlimmste Sicherheitslücke, die es in Windows je gab, denn das auf diese Weise verteilte Kennwort steht in entschlüsselbarer Form in der GPO drin und der Schlüssel steht Plaintext im Technet...

Na super ... Und statt die Funktion dann sicherer zu machen (z.B. in dem man das Kennwort in nicht entschlüsselbarer Form in der GPO speichert) streicht Microsoft sie gleich ganz face-sad


MS hat ein Tool bereitgestellt, mit dem das sehr einfach geht.

Wenn man genug Englisch kann um diese Seite zu verstehen ...
Mitglied: DerWoWusste
DerWoWusste 25.04.2015 um 09:56:17 Uhr
Goto Top
Sarek, moin.
Wenn man es nicht entschlüsselbar speichern würde, wie soll der PC es dann einlesen?
Diese Art der Verteilung geht nicht sicher, denk einfach mal drüber nach.
Nur wenn die Kennw. unterschiedlich sind, geht es sicher.
Mitglied: SarekHL
SarekHL 25.04.2015 um 21:22:24 Uhr
Goto Top
Zitat von @DerWoWusste:

Wenn man es nicht entschlüsselbar speichern würde, wie soll der PC es dann einlesen?

Ich bin kein Security-Experte ... aber werden die Kennwörter in Windows nicht sowieso nur als Hash gespeichert? Könnte man also nicht statt des Kennworts gleich dessen Hashwert in der GPO speichern und den dann auf den Zielsystemen eintragen lassen? Das geht sicher in die Tiefen des Systems, aber hey - Microsoft hat das System entwickelt, die werden das doch wohl lösen können
Mitglied: DerWoWusste
DerWoWusste 26.04.2015 um 11:44:41 Uhr
Goto Top
Du missverstehst das Problem: wer die GPO lesen kann, kann auch den Hash oder was auch immer da wertvolles drinsteht, lesen. Der Ansatz kann nur scheitern.
Mitglied: Yell-ing
Yell-ing 27.04.2015 um 09:08:42 Uhr
Goto Top
Danke für eure Zahlreichen Antworten.
Ich wusste garnicht das dieser Hotfix das verbietet. Dann muss ich mir wohl etwas anderes einfallen lassen bzw. mir mal die 2 Links von DerWoWusste angucken.
Das sieht auf jedenfall interessant aus.

Mfg Yelling
Mitglied: BBfreak
BBfreak 27.04.2015 um 10:28:58 Uhr
Goto Top
Server ist laut Windows-Update aktuell. Die Problematik mit dem Hash war mir aber bekannt und ich nutze diese Funktionalität nicht.

Srv: 2012 Std.
Mitglied: DerWoWusste
DerWoWusste 03.05.2015 um 11:03:55 Uhr
Goto Top
Mitglied: SarekHL
SarekHL 03.05.2015 um 11:09:09 Uhr
Goto Top

Nach welchen Kriterien entscheidet Microsoft eigentlich, in welchen Sprachen es seine Artikel verfügbar macht? Der Artikel liegt auch auf Norwegisch oder Rumänisch vor, aber nicht auf Deutsch ... dabei gibt es bestimmt mehr deutschsprachige Kunden als rumänisch- oder norwegischsprachige.
Mitglied: DerWoWusste
DerWoWusste 03.05.2015 aktualisiert um 11:13:33 Uhr
Goto Top
Moin.

Das ist selten. Da der Artikel taufrisch von vorgestern ist, rechne ich damit, das deutsch demnächst nachzieht. Und bedenke, viele Amis haben es nicht so mit der Bedeutung von Deutschland (und/oder mit Geografie im Allgemeinen) . "Hamburg, das ist doch der Hafen von München, oder?"..."Germany, ain't that some town in Russia?" - habe ich beides schon in den USA gehört.
Mitglied: SarekHL
SarekHL 03.05.2015 aktualisiert um 11:29:52 Uhr
Goto Top
Zitat von @DerWoWusste:

viele Amis haben es nicht so mit der Bedeutung von Deutschland (und/oder mit Geografie im Allgemeinen) . "Hamburg, das ist
doch der Hafen von München, oder?"..."Germany, ain't that some town in Russia?" - habe ich beides schon
in den USA gehört.

{OffTopic Start}

{Frust Start}

Ja, typisch amerikanische Wir-sind-der-Nabel-der-Welt-Arroganz. Wenn die Amis mal von ihrem hohen Roß herunterkommen würden, könnte es in der Welt deutlich gerechter aussehen. Und wir spielen auch noch den treuen Vasallen, in dem wir alle amerikanischen Wünsche an unsere Politik brav erfüllen, amerikanische Spionage nicht bekämpfen und demnächst auch noch ihnen zuliebe mit TTIP unsere Demokratie abschaffen. Amerika ist ja schon jetzt keine mehr, wie amerikanische Wissenschaftler testieren.

{Frust Ende}

{OffTopic Ende}
Mitglied: DerWoWusste
DerWoWusste 06.05.2015 um 00:38:46 Uhr
Goto Top
Na, zu dem OffTopic sag ich mal nichts.
https://support.microsoft.com/de-de/kb/3062591?wa=wsignin1.0 ist verfügbar, obwohl es weiterhin nicht als Sprache anklickbar auszuwählen ist. Bestimmt Absicht face-wink