11
AutoAdminLogon schaltet sich von selbst ein?
Mahlzeit!
Es passiert hin und wieder, dass sich an einem Client-PC hier in der Firma das AutoAdminLogon einschaltet, der Rechner also hochfährt, ohne dass der User ein Passwort eingeben muss. Kennt jemand dieses Phänomen? Wo könnte ich anfangen nach dem Fehler zu suchen? Es passiert selten, aber es passiert, heute Mittag meldete sich wieder so ein Kollege...
Grüße, Peter
Es passiert hin und wieder, dass sich an einem Client-PC hier in der Firma das AutoAdminLogon einschaltet, der Rechner also hochfährt, ohne dass der User ein Passwort eingeben muss. Kennt jemand dieses Phänomen? Wo könnte ich anfangen nach dem Fehler zu suchen? Es passiert selten, aber es passiert, heute Mittag meldete sich wieder so ein Kollege...
Grüße, Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 135650
Url: https://administrator.de/contentid/135650
Printed on: April 19, 2024 at 20:04 o'clock
11 Comments
Latest comment
Hallo,
Peter
Es passiert hin und wieder, dass sich an einem Client-PC hier in der Firma das AutoAdminLogon einschaltet, der Rechner also
hochfährt, ohne dass der User ein Passwort eingeben muss. Kennt jemand dieses Phänomen? Wo könnte ich anfangen nach
dem Fehler zu suchen? Es passiert selten, aber es passiert, heute Mittag meldete sich wieder so ein Kollege...
Da fragt sich doch dann jeder admin, welcher Benutzer hat sich da "Automatisch ohne die Tastatur zu benutzen" angemeldet. Was steht im Ereignisprotokoll? Verwendet ihr AutoAdminLogon überhaupt? Lässt dein OS das überhaupt zu? Was erlauben deine GPO's? Was steht in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon dort in "DefaultUserName" und "DefaultPassword" drin, falls die werte gesetzt sind? Wurde AutoAdminLogon bei euch an den Clients in der Vergangenheit schon mal eingesetzt?hochfährt, ohne dass der User ein Passwort eingeben muss. Kennt jemand dieses Phänomen? Wo könnte ich anfangen nach
dem Fehler zu suchen? Es passiert selten, aber es passiert, heute Mittag meldete sich wieder so ein Kollege...
Peter
AutoAdminLogon wurde in der Vergangenheit nicht benutzt. Es gibt einige spezielle Terminals, die gesondert gesichert sind, da wurde das aber per Hand in die Registry eingetragen. Unsere GPOs verändern nichts an dem von Dir genannten Reg-Schlüssel. Wir rätseln hier zu 5 Leuten, was da passieren könnte...
Grüße, Peter
Grüße, Peter
Welche Rechte haben die User auf den besagten PCs?
Der betreffende Benutzer ist Hauptbenutzer... und hat keine Ahnung, wie man das per Hand einstellt 
Zitat von @JPSelter:
Der betreffende Benutzer ist Hauptbenutzer... und hat keine Ahnung, wie man das per Hand einstellt
Der betreffende Benutzer ist Hauptbenutzer... und hat keine Ahnung, wie man das per Hand einstellt
Er vielleicht nicht. Aber irgendein Script oder Programm vielleicht. Immerhin kann der hauptbenutzer in diesen Schlüssel reinschreiben.
*gekräuselteStirn* welches Programm sollte denn sowas machen.... da wird doch wohl keine Malware beteiligt sein? Aktueller Virenscanner ist jedenfalls aktiv, bisher hat er nichts gemeldet, ich kann aber sonst auch mal mit den anderen beiden Scannern drübergehen...
Solche "tollen" Optimierungsprogramme könnte ich mir vorstellen^^
Hi.
Außerdem sollte man auf Hauptbenutzerrechte verzichten, die können sich im Nu zu Admins machen, hat M. Russinovich mal erläutert.
Wo könnte ich anfangen nach dem Fehler zu suchen?
Überwach die Registryeinträge, die Dir genannt wurden. Auch die Überwachung kannst Du per GPOs einschalten.Außerdem sollte man auf Hauptbenutzerrechte verzichten, die können sich im Nu zu Admins machen, hat M. Russinovich mal erläutert.
Guten Morgen!
Gerade kommt der Kollege wieder, dass sich der Schlüssel wieder an zwei PCs angeschaltet hat, langsam wirds gruselig...
WIe genau überwache ich firmenweit diesen Schlüssel? Ich habe einen Artikel bei Microsoft gefunden, der beschreibt wie ich die Überwachung per GPO anschalte, aber ich verstehe da nicht wie man auf den Clients den zu überwachenden Schlüssel angibt. Das kann ich doch unmöglich lokal an jedem Client anschalten...
Gerade kommt der Kollege wieder, dass sich der Schlüssel wieder an zwei PCs angeschaltet hat, langsam wirds gruselig...
WIe genau überwache ich firmenweit diesen Schlüssel? Ich habe einen Artikel bei Microsoft gefunden, der beschreibt wie ich die Überwachung per GPO anschalte, aber ich verstehe da nicht wie man auf den Clients den zu überwachenden Schlüssel angibt. Das kann ich doch unmöglich lokal an jedem Client anschalten...
Hallo JPSelter,
Peter
Zitat von @JPSelter:
Gerade kommt der Kollege wieder, dass sich der Schlüssel wieder an zwei PCs angeschaltet hat, langsam wirds gruselig...
Von alleine? Oder wer hat da dran gedreht? Wer hat zugang per RDP oder VNC?Gerade kommt der Kollege wieder, dass sich der Schlüssel wieder an zwei PCs angeschaltet hat, langsam wirds gruselig...
WIe genau überwache ich firmenweit diesen Schlüssel? Ich habe einen Artikel bei Microsoft gefunden, der beschreibt wie
ich die Überwachung per GPO anschalte, aber ich verstehe da nicht wie man auf den Clients den zu überwachenden
Schlüssel angibt.
Wäre ja jetzt nett gewesen, wenn du noch deine Quelle (Link auf den gefunden artikel) angegeben hast. Sonst müssen wir suchen, und hoffen das wir das gleiche finden wie du. das macht so keinen spass!ich die Überwachung per GPO anschalte, aber ich verstehe da nicht wie man auf den Clients den zu überwachenden
Schlüssel angibt.
Das kann ich doch unmöglich lokal an jedem Client anschalten...
Wo denn sonst? Zur Zeit sind es doch nur 2 PC's.Peter
Du kannst per GPO die 2 nötigen Dinge für die Überwachung einschalten:
1. GPO->computer konfig - Policies - Windows Einstellungen - Sicherh. Einstellungen - Registry ->Schlüssel hinzufügen. Hier kannst Du in den erweiterten Sicherheitseinstellungen des Schlüssels auch die Überwachungseinstellungen ändern.
2. Überwachungsrichtlinie für Objektzugriffe aktivieren
->GPO->computer konfig - Policies - Windows Einstellungen - Sicherh. Einstellungen -lok. Einst. -Überwachungsrichtlinie ->Success und Failure für "jeder" aktivieren.
Wird nun von wem auch immer geändert, läuft dies als Eintrag im Ereignisprotokoll, Bereich Sicherheit, auf den Clients auf.
1. GPO->computer konfig - Policies - Windows Einstellungen - Sicherh. Einstellungen - Registry ->Schlüssel hinzufügen. Hier kannst Du in den erweiterten Sicherheitseinstellungen des Schlüssels auch die Überwachungseinstellungen ändern.
2. Überwachungsrichtlinie für Objektzugriffe aktivieren
->GPO->computer konfig - Policies - Windows Einstellungen - Sicherh. Einstellungen -lok. Einst. -Überwachungsrichtlinie ->Success und Failure für "jeder" aktivieren.
Wird nun von wem auch immer geändert, läuft dies als Eintrag im Ereignisprotokoll, Bereich Sicherheit, auf den Clients auf.
