Im Domänen-Netzwerk kann ein lokales Administrator-Konto im Fehlerfall zwar nützlich, aber meist ein Problemfall bzw. Sicherheitsrisiko sein. Besser ist es, dieses mit einem sicheren Kennwort zu schützen oder gleich ganz zu deaktivieren.
Der Ärger fängt allerdings schon damit an, das bei der Installation bzw. Ersteinrichtung von Windows das dabei erstellte Benutzerkonto lokaler Administrator ist. Das builtin Administrator-Konto ist in der Regel (seit Windows 8.x glaube ich) deaktiviert, kann allerdings nachträglich aktiviert werden. Früher als die Gummistiefel noch aus Holz waren konnte man bei Windows 2000 bei der Installation direkt in die Domäne rein und so gab es schon mal gar kein lokales Benutzerkonto. Ja, damals war alles… anders (Nein, es war nicht alles besser!).
Also wenn man, ausgehend vom Schema F-Setup, nicht daran denkt, das bei der Installation erstellte Benutzerkonto zu entfernen oder zumindest zu deaktivieren oder man hat aus welchen Gründen auch immer das lokale Administrator-Konto aktiviert, schafft man sich damit zum einen potentielle Sicherheitslücken und/oder Doppel-Verwaltung. Letzteres zielt darauf, das man den Domänen-Admin und das lokale Admin-Konto pflegen darf. Ersteres ist bei fehlendem Kennwort richtig giftig und dann kommt noch die Frage hinzu “Wer ändert schon regelmäßig das lokale-Administrator-Kennwort?”.
Soviel zur Einleitung. Was für Möglichkeiten gibt es denn nun?
Per Gruppenrichtlinie das Administrator-Kennwort ändern funktioniert bei aktuellem Update-Stand aus Sicherheitsgründen nicht mehr. Microsoft empfiehlt die Nutzung von LAPS (Local Administrator Password Solution):
Microsoft TechNet – Forum – lokales Adminpasswort Clients ändern über GPO
heise+ – Lokale Admin-Passwörter in der Windows-Domäne verwalten
TECHfaq – Administratorkennwort ändern per Gruppenrichtlinie
Oder aber das lokale Administrator-Konto per GPO deaktivieren:
TechExpertTIPS – GPO – Disable the local Administrator account
Alternativ gibt den Befehls-/Skript-basierten Klassiker mittels:
net user Administrator /Active:No
Oder um das Kennwort zu ändern:
net user Administrator <Neues Kennwort>
Der Vollständigkeit halber:
net user Administrator *
erzeugt eine Abfrage nach dem neuen Kennwort.
Quelle: SoftwareOK.de – Windows 10 Benutzerpasswörter ändern, über NET USER Befehl, aber wie?
Soweit hat man schon mal ein paar Wege zur Hand. Spannend wird es in Arbeitsgruppen- oder Misch-Umgebungen. Erstere kennt keine Gruppenrichtlinie, letztere nur zum Teil.
“net user” bietet die Möglichkeit den Vorgang zu Skripten um beispielsweise via Aufgabe, PsExec und weiteren Tools Änderungen quasi-zentral verwalten zu können. Bei einem Kunden-Auftrag ging es tatsächlich darum in einer Misch-Umgebung das Administrator-Kennwort zu ändern. Während in der Firmenzentrale alle Computer Mitglied der Domäne sind, ist dies bei Außendienst- und weiteren Standort-Mitarbeitern nicht der Fall. Eine Dritt-Anbieter Management-Lösung ist nicht vorhanden, dafür allerdings eine Skript-basierte Verwaltung um Software und Updates ausrollen zu können.
Bevor man nun allerdings einfach das Administrator- oder irgendein anderes Kennwort im Klartext in einer Batch-Datei abspeichert und so verteilt, sollte man sich Gedanken darüber machen, wie es etwas besser geht. Eine Option kann sein, das nur das Benutzerkonto mit dem die Aufgabe ausgeführt wird Zugriff auf den entsprechenden Ordner hat. Besser ist in jedem Fall, wenn das Kennwort überhaupt nicht lesbar irgendwo “herumliegt”. So wurde kurzerhand dieser Teil der Aufgabe als AutoIt-Skript erstellt und dieses als Exe-Datei kompiliert. Nur letztgenannte Datei wird den Clients zur Verfügung gestellt.
Das *.au3-Skript sieht so aus:
; AutoIt Tray Icon ausblenden #NoTrayIcon ; Befehl ausfuehren RunWait(@ComSpec & " /c " & 'net user Administrator <Neues Kennwort> NUL 2>&1', "", @SW_HIDE)
Damit dieses im Skript störungsfrei durchläuft, wurde es als Konsolenanwendung kompiliert, siehe dazu:
AutoIt: Aut2Exe – Versionsunterschiede
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Schreibe einen Kommentar