11
Wie kann ich den lokalen Administrator schützen ?
Windows Server 2008 R2 & 2003 R2 Umgebung
Windows XP Clients
Bei uns ist es nun vermehrt vorgekommen, dass Leute sich BootCDs besorgt haben und den lokal Admin dann zurückgesetzt haben.
Wir würden nun gerne dies verhindern.
Fällt jemand dazu eine Lösung ein? Am liebsten das SAM File löschen oder so...
Gruss
Wir würden nun gerne dies verhindern.
Fällt jemand dazu eine Lösung ein? Am liebsten das SAM File löschen oder so...
Gruss
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Biber am Dec 21, 2010 um 17:46:38 Uhr
Geschlossen
Ist technisch nicht lösbar - ist eher ein Akzeptanzproblem.
Ist technisch nicht lösbar - ist eher ein Akzeptanzproblem.
Content-Key: 157382
Url: https://administrator.de/contentid/157382
Printed on: April 26, 2024 at 09:04 o'clock
11 Comments
Latest comment
Wie wäre es mit BIOS-Passwort einstellen? 
Auf den besseren Business-Rechnern deaktiviert das auch das Booten von CD.
Die alternative wäre eine Hardware-Karte wie Dr. Kaiser oder RebornCard, die alle Festplattenänderungen abfangen können.
Auf den besseren Business-Rechnern deaktiviert das auch das Booten von CD.
Die alternative wäre eine Hardware-Karte wie Dr. Kaiser oder RebornCard, die alle Festplattenänderungen abfangen können.
Auch dir keinen Gruß,
wer seine Systeme so absichert, dass Hans Harz und Frieda Fröhlich munter von CD/USB booten kann, der macht was falsch.
Gruß
wer seine Systeme so absichert, dass Hans Harz und Frieda Fröhlich munter von CD/USB booten kann, der macht was falsch.
- Betriebsvereinbarung
- Bios absichern
Gruß
Hallo,
Bios mit Passwort sichern, booten von CD verbieten.
Erledigt!
Wenn du den SAM File löscht kann sich keiner mehr anmelden!
auch du nicht....
brammer
Bios mit Passwort sichern, booten von CD verbieten.
Erledigt!
Wenn du den SAM File löscht kann sich keiner mehr anmelden!
auch du nicht....
brammer
Nur das BIOS per Kennwort zu schützen, reicht nicht immer aus. Denn in vielen Fällen lässt sich beim POST-Screen durch Drücken einer Taste (z.B. F12) ein Bootdevice auswählen.
Daher würde ich neben Setzen eines Kennworts noch folgendes empfehlen:
- "Boot Other Device" deaktivieren.
- wenn vorhanden, andere Bootdevices aus der Bootliste entfernen
- das manuelle Auswählen des Bootdevice ("F12") beim Booten deaktivieren
Daher würde ich neben Setzen eines Kennworts noch folgendes empfehlen:
- "Boot Other Device" deaktivieren.
- wenn vorhanden, andere Bootdevices aus der Bootliste entfernen
- das manuelle Auswählen des Bootdevice ("F12") beim Booten deaktivieren
[OT]
Wenn drei dumme einen Gedanken haben und der Fragesteller sich selber Blödman nennt, dann stimmt doch was nicht auf diesem Planeten...
[/OT]
@O-Marc - naja also das man vorm Bios Passwortschutz auch ein paar zu schützendes Settings hinterlegt hat, das sollte auch der vorletzte Lötman kapiert haben...
Wenn drei dumme einen Gedanken haben und der Fragesteller sich selber Blödman nennt, dann stimmt doch was nicht auf diesem Planeten...
[/OT]
@O-Marc - naja also das man vorm Bios Passwortschutz auch ein paar zu schützendes Settings hinterlegt hat, das sollte auch der vorletzte Lötman kapiert haben...
Das mit der SAM löschen, war nicht ernst gemeint.
Die Idee mit der Bootreihenfolge ist mir noch gar nicht eingefallen.
Merci.
Schönes Neues.
Die Idee mit der Bootreihenfolge ist mir noch gar nicht eingefallen.
Merci.
Schönes Neues.
@ TimoBeil: Mein Beitrag war auf die Aussage von dog bezogen, ein BIOS-Passwort würde auch das Booten von CD deaktivieren. Was also ist daran überflüssig?
Hallo,
also ich bin eigentlich kein Freund von Lynchjustiz, aber Adminkennwörter zurücksetzen ist für mich ein Abmahngrund. Ich bin kein Jurist und weiß nicht ob man hier ohne Betriebsvereinbarung mit einer Abmahnung durchkommt. Aber wer so etwas tut weiß daß es verboten ist, schließlich will er was erreichen was er ja nicht soll. Sonst wären die Passwörter jedem bekannt.
Technisch ist ja eigentlich schon alles gesagt.
Klaus
also ich bin eigentlich kein Freund von Lynchjustiz, aber Adminkennwörter zurücksetzen ist für mich ein Abmahngrund. Ich bin kein Jurist und weiß nicht ob man hier ohne Betriebsvereinbarung mit einer Abmahnung durchkommt. Aber wer so etwas tut weiß daß es verboten ist, schließlich will er was erreichen was er ja nicht soll. Sonst wären die Passwörter jedem bekannt.
Technisch ist ja eigentlich schon alles gesagt.
Klaus
dazu mal gucken ob du rausfindest wann und von wem das gemacht wurde und demjenigen den Stiefel bis zu den Mandeln schieben. Sollte ja idR. kein Problem darstellen ;)
Ist der Ausbau von optischen Laufwerken eventuell noch eine Option?
Neben Bootreihenfolge ändern und booten von CD deaktivieren gibt es ja noch unter Windows die Option, dass man den Administrator per lokaler Gruppenrichtlinie umbennen kann.
Wenn das passiert ist, scheitern viele Tools daran, die Kennwörter zurückzusetzen. Und wenn du dann noch einen Benutzer mit Gastrechten hinzufügst und ihn "Administrator" nennst, kennt die Schadenfreude keine Grenzen mehr
Neben Bootreihenfolge ändern und booten von CD deaktivieren gibt es ja noch unter Windows die Option, dass man den Administrator per lokaler Gruppenrichtlinie umbennen kann.
Wenn das passiert ist, scheitern viele Tools daran, die Kennwörter zurückzusetzen. Und wenn du dann noch einen Benutzer mit Gastrechten hinzufügst und ihn "Administrator" nennst, kennt die Schadenfreude keine Grenzen mehr
Ist hinreichend beantwortet.
Bevor hier noch ein paar spontane Kommentare nachtröpfeln...
@user-mit-dem-unsäglichen-Nick
Wie war denn denn deine Erwartungshaltung bei einer Anmeldung mit diesem Nicknamen
und einer beigefügten Frage "Wie kann ich schlauer sein als meine Möchtegern-Poweruser?"
Nimm doch nächstes Mal einen unverfänglichen Nick wie "Flamewarrior" oder "Firebug".
Grüße
Biber
P.S. @Maxi
### Geschlossen ###
Bevor hier noch ein paar spontane Kommentare nachtröpfeln...
@user-mit-dem-unsäglichen-Nick
Wie war denn denn deine Erwartungshaltung bei einer Anmeldung mit diesem Nicknamen
und einer beigefügten Frage "Wie kann ich schlauer sein als meine Möchtegern-Poweruser?"
Nimm doch nächstes Mal einen unverfänglichen Nick wie "Flamewarrior" oder "Firebug".
Grüße
Biber
P.S. @Maxi
..gibt es ja noch unter Windows die Option, dass man den Administrator per lokaler Gruppenrichtlinie umbennen kann.
Nein, diese Option gibt es hier nicht... "umbennen" wollten wir doch bitte nicht mehr machen in diesem Forum und in diesem Leben, hmm??