Lokales Admin-PW auf Windows 7-Systemen ändern
Hallo,
ist vielleicht eine 0815-Aufgabe, vielleicht steh ich auch nur auf dem Schlauch, aber wie kann man in einem Domänensystem (2012R2-Server) als Server und etwa 150 Windows 7-Clients das lokale Admin-PW ändern. Gibt´s da ne GPO dafür?
Noch besser wäre, wenn man den Account gleich gänzlich deaktivieren könnte und nur die Domänen-Admins da was machen dürften.
LG
ist vielleicht eine 0815-Aufgabe, vielleicht steh ich auch nur auf dem Schlauch, aber wie kann man in einem Domänensystem (2012R2-Server) als Server und etwa 150 Windows 7-Clients das lokale Admin-PW ändern. Gibt´s da ne GPO dafür?
Noch besser wäre, wenn man den Account gleich gänzlich deaktivieren könnte und nur die Domänen-Admins da was machen dürften.
LG
Please also mark the comments that contributed to the solution of the article
Content-Key: 291491
Url: https://administrator.de/contentid/291491
Printed on: April 20, 2024 at 02:04 o'clock
5 Comments
Latest comment
Hi,
DEN Administrator kannst Du mittels GP0 deaktivieren.
Computereinstellungen - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - Konten: Administratorkontostatus
Ich würde aber auch auf Nummer Sicher gehen wollen, dass da keine anderen Konten Mitglieder der lokalen Administratoren sind. Also auch die Mitgliedschaft der lokalen Administratoren per GPO vorgeben
Computereinstellungen - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen
Dort "Administratoren" hinzufügen (oder "Administrators" wenn der Computer, auf welchem die GPO bearbeitet wird, ein englisches Windows hat. (bzw. andere Sprache entsprechend)
Mitglieder: DOMÄNE\Domänen-Admins
niemand sonst weiter
E.
DEN Administrator kannst Du mittels GP0 deaktivieren.
Computereinstellungen - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtlinien - Sicherheitsoptionen - Konten: Administratorkontostatus
Ich würde aber auch auf Nummer Sicher gehen wollen, dass da keine anderen Konten Mitglieder der lokalen Administratoren sind. Also auch die Mitgliedschaft der lokalen Administratoren per GPO vorgeben
Computereinstellungen - Richtlinien - Windows Einstellungen - Sicherheitseinstellungen - Eingeschränkte Gruppen
Dort "Administratoren" hinzufügen (oder "Administrators" wenn der Computer, auf welchem die GPO bearbeitet wird, ein englisches Windows hat. (bzw. andere Sprache entsprechend)
Mitglieder: DOMÄNE\Domänen-Admins
niemand sonst weiter
E.
Das Passwort des lokalen Admins würde ich nicht per GPO ändern, da es unsicher ist.
Auf aktuellen Systemen sollte das auch gar nicht mehr funktionieren, da von MS unterbunden:
https://technet.microsoft.com/en-us/library/security/ms14-025.aspx
Zur lokalen Passwortverwaltung empfehle ich den Local Administrator Password Solution (LAPS).
https://www.microsoft.com/en-us/download/details.aspx?id=46899
Auf aktuellen Systemen sollte das auch gar nicht mehr funktionieren, da von MS unterbunden:
https://technet.microsoft.com/en-us/library/security/ms14-025.aspx
Zur lokalen Passwortverwaltung empfehle ich den Local Administrator Password Solution (LAPS).
https://www.microsoft.com/en-us/download/details.aspx?id=46899
Moin.
Auch die Domänenadmins haben auf den Nutzerrechnern nichts verloren, dazu nimm lieber Supportkonten, siehe Sicherer Umgang mit Supportkonten
Und die gpo-Referenz findest du per Google sofort.
Auch die Domänenadmins haben auf den Nutzerrechnern nichts verloren, dazu nimm lieber Supportkonten, siehe Sicherer Umgang mit Supportkonten
Und die gpo-Referenz findest du per Google sofort.
Moin,
Gruß,
Dani
ist vielleicht eine 0815-Aufgabe, vielleicht steh ich auch nur auf dem Schlauch, aber wie kann man in einem Domänensystem (2012R2-Server) als Server und etwa 150 Windows 7-Clients das lokale Admin-PW ändern. Gibt´s da ne GPO dafür?
Wir nutzen dafür Microsoft LAPS.Gruß,
Dani