112349
Jul 01, 2013
1627
7
0
Administrator-Kennworte unter Windows schützen
Hallo.
Gibt es eine Möglichkeit unter Windows, mit der ich verhindern kann, dass Mitglieder der Grupee "Administratoren" das Kennwort des lokalen Administrators ändern?
Gruppenrichtlinien können hier nicht angewendet werden
H.E.
Gibt es eine Möglichkeit unter Windows, mit der ich verhindern kann, dass Mitglieder der Grupee "Administratoren" das Kennwort des lokalen Administrators ändern?
Gruppenrichtlinien können hier nicht angewendet werden
H.E.
Please also mark the comments that contributed to the solution of the article
Content-Key: 208867
Url: https://administrator.de/contentid/208867
Printed on: April 26, 2024 at 22:04 o'clock
7 Comments
Latest comment
Hi,
nur so eine Idee in den Raumm geworfen, keine Ahnung wie man sowas umsetzen könnte aber:
Script als Abmelde-Script, welches das Passwort zurückändert ?
Grüße
Exze
nur so eine Idee in den Raumm geworfen, keine Ahnung wie man sowas umsetzen könnte aber:
Script als Abmelde-Script, welches das Passwort zurückändert ?
Grüße
Exze
Guten Morgen,
wenn der Rechner Mitglied einer Domäne ist, dann m.W. nicht. Der Domänenadmin hat immer "das letzte Wort".
Wenn es kein Domänenmitglied ist, dann beschreibe bitte genauer was Du erreichen möchtest. Wieso sollte denn ein Mitglied der Gruppe Adminstratoren das Kennwort vom Admin ändern? geht das überhaupt?
Markus
wenn der Rechner Mitglied einer Domäne ist, dann m.W. nicht. Der Domänenadmin hat immer "das letzte Wort".
Wenn es kein Domänenmitglied ist, dann beschreibe bitte genauer was Du erreichen möchtest. Wieso sollte denn ein Mitglied der Gruppe Adminstratoren das Kennwort vom Admin ändern? geht das überhaupt?
Markus
Hi.
Du kannst prinzipiell bei lokalen Admins keinen wirklichen Schutz mehr aufbauen, den sie nicht umgehen könnten. Du könntest jedoch eine Überwachungsrichtlinie etablieren, die Mails bei Kennwortänderung verschickt ->"audit account management".
Genauer: Die Überwachung generiert Events und die Events können Aktionen wie Mails auslösen.
Du kannst prinzipiell bei lokalen Admins keinen wirklichen Schutz mehr aufbauen, den sie nicht umgehen könnten. Du könntest jedoch eine Überwachungsrichtlinie etablieren, die Mails bei Kennwortänderung verschickt ->"audit account management".
Genauer: Die Überwachung generiert Events und die Events können Aktionen wie Mails auslösen.
Zitat von @DerWoWusste:
Hi.
Du könntest jedoch eine Überwachungsrichtlinie etablieren, die Mails bei Kennwortänderung verschickt ->"audit
account management".
Genauer: Die Überwachung generiert Events und die Events können Aktionen wie Mails auslösen.
Hi.
Du könntest jedoch eine Überwachungsrichtlinie etablieren, die Mails bei Kennwortänderung verschickt ->"audit
account management".
Genauer: Die Überwachung generiert Events und die Events können Aktionen wie Mails auslösen.
Hallo DWW,
der Ansatz klingt sehr interessant. Kannst Du mir ggf. kurz beschreiben wie Du das genau einrichten würdest?
Reicht es einfach die "Kontonverwaltung Überwachen" Richtlinie zu aktivieren und dann die generierten Events
aus dem Eventlog abzugreifen oder bin ich gerade an der falschen Stelle?
Die nächste Frage wäre, wie Du die Events dann aus dem Eventlog abgreifst und per Mail verschickst? Drittanbieter Software
oder implementierte Funktion die ich bisher noch nicht kenne?
Mfg.
Hi Phalanx82.
Diese Richtlinie aktivieren, ja, und dann ein solches Event generieren, also ein Kennwort ändern. Dann im Sicherheitslog nachsehen, ob das Event dort wie zu erwarten ist, aufgelaufen ist und im Eventviewer dann wählen "Aufgabe an dieses Ereignis anheften". Als Mailer nehme ich Blat.exe, also lasse ich den Task eine Batch starten, die die Blat-Syntax enthält.
Diese Richtlinie aktivieren, ja, und dann ein solches Event generieren, also ein Kennwort ändern. Dann im Sicherheitslog nachsehen, ob das Event dort wie zu erwarten ist, aufgelaufen ist und im Eventviewer dann wählen "Aufgabe an dieses Ereignis anheften". Als Mailer nehme ich Blat.exe, also lasse ich den Task eine Batch starten, die die Blat-Syntax enthält.
Zitat von @DerWoWusste:
Hi Phalanx82.
Diese Richtlinie aktivieren, ja, und dann ein solches Event generieren, also ein Kennwort ändern. Dann im Sicherheitslog
nachsehen, ob das Event dort wie zu erwarten ist, aufgelaufen ist und im Eventviewer dann wählen "Aufgabe an dieses
Ereignis anheften". Als Mailer nehme ich Blat.exe, also lasse ich den Task eine Batch starten, die die Blat-Syntax
enthält.
Hi Phalanx82.
Diese Richtlinie aktivieren, ja, und dann ein solches Event generieren, also ein Kennwort ändern. Dann im Sicherheitslog
nachsehen, ob das Event dort wie zu erwarten ist, aufgelaufen ist und im Eventviewer dann wählen "Aufgabe an dieses
Ereignis anheften". Als Mailer nehme ich Blat.exe, also lasse ich den Task eine Batch starten, die die Blat-Syntax
enthält.
Dankeschön für die Erklärung DWW Das werde ich mir mal anschauen bei Gelegenheit.