[HaBo]

Brabax · 07.04.11, 15:10

Hallo Jungs und Mädels,

ich will folgendes wissen:
Wie stelle ich es in Windows XP / Windows 7 (Enterprise) ein, dass User, die zwar in der Administratorengruppe aber nicht der Administrator (SID *-500) sind, das Passwort des Administrators nicht ändern können?

Verfügbare Mittel:
Domain Policies, alle lokalen Optionen.

Bin für alle Vorschläge offen (-> Abgesehen von Skriptlösungen [repetive], die möchte ich gerne vermeiden)!

lG

Brabax

GrafZahl · 07.04.11, 20:47

meines wissens braucht man dafür eine AD ...

Anzeige

- Anzeige -

Brabax · 07.04.11, 22:14

Die ist vorhanden.
In der AD sind aber "nur" Domain-Admins davor sicher.
Mir geht es aber um den lokalen Admin.
Ich konnte leider auch nichts finden, was darauf hinweist, dass eine AD-GPO solch eine Option anbietet (mal abgesehen von einem Script, dass das Passwort immer wieder zurück setzt).

lG

GrafZahl · 08.04.11, 11:26

Zitat:

Zitat von GrafZahl

meines wissens braucht man dafür eine AD ...

was ich damit meinte ist eigentlich: das userobjekt muss im LDAP-verzeichnis der AD liegen

m374kn1gh7 · 12.04.11, 16:55

Du kannst soweit ich weiss in den Benutzerrichtlinien wo deine User anlegst für jeden User einstellen ob er sein PW ändern kann oder nicht.
In Verbindung mit den Gruppenrichtlinien kannst du dann einstellen das der User zu den Administratoren gehört und unter den Benutzerrichtlinien kannst du dem einzelnen User Restriktionen geben.

Habe leider kein AD hier auf der Arbeit wo ich Zugriff drauf habe, sonst würde ich dir genauer erklären wo was zu finden ist.

Falls ich mich täusche kommst du leider um ps1-Scripte nicht herum. Dort kann man auf jedenfall den User als LDAP-Objekt benutzen und nach belieben verändern.

Gruß
m374kn1gh7

Vyger · 12.04.11, 18:46

Ich fange mal mit dem richten Skript an:
PsPasswd

Das willst Du ja nicht, aber rein logisch ist es nicht möglich was Du da vor hast. Dem sicherheitstechnisch am höchsten platzierten lokalen Adminkonto kann man nunmal effektiv nichts verbieten

.

Aber eine Art "Security by obscurity" ist dennoch möglich:
Gibt es eine Gruppenrichtlinie, die einen neuen Benutzernamen und ein Passwort für alle lokalen Maschinen würden Druck auf ein Netzwerk? (nervige Seite

)

Um das Pferd nochmals rückwärts aufzuzäumen:
Fehlermeldung, wenn nicht-Administrator-Benutzer delegierten Steuerelement wurden versuchen, Windows Server 2003 oder Windows Server 2008-basierten Domänencontroller Computer hinzuzufügen: "Zugriff verweigert"

Brabax · 12.04.11, 19:49

Danke für die Anregungen.

Ich glaube aber, dass ihr es noch nicht ganz verstanden habt.

Nehmen wir an, wir haben auf Windows den
"Administrator" (500),
"Brabax" (Gruppe Administratoren)
(--- hier dazwischen gibt es ja effektiv nichts mehr *grr* ---)
"Benutzer" (Gruppe Benutzer)

Und so möchte ich es haben:

Der Administrator darf das Passwort von Administrator, Brabax und Benutzer ändern.

Brabax darf nur das Passwort von Brabax und Benutzer ändern.

Benutzer darf nur das Passwort von Benutzer ändern.

-------------------------------------------------------------

@m374kn1gh7:
Wenn ich es richtig verstehe, geht dein Ansatz davon aus, dass er es nicht selber ändern können soll. Aber mit einem anderen "Admin" kann ich es ja weiterhin ändern.

@Vyger:

Zitat:

Das willst Du ja nicht, aber rein logisch ist es nicht möglich was Du da vor hast. Dem sicherheitstechnisch am höchsten platzierten lokalen Adminkonto kann man nunmal effektiv nichts verbieten

Ich will den Pseudo-Administratoren was verbieten, nicht dem Administrator

----------------------------------------------------

Machen wir es anders:
Ich brauche für meine User volle Admin-Rechte, außer dem ändern des Passworts des 500er-Administrators (bzw. höherrangiger Benutzer).

Grüße

m374kn1gh7 · 14.04.11, 13:58

Ah sry dann hab ich was falsch gelesen/verstanden.
Hm... mir stellt sich die Frage ob ein Administrator ein Administrator ist wenn er nich alle Zugriffe hat.

Daraus ergibt sich

Leg die Admins als User mit mehr Rechten an (Rechte die der Admin halt brauch um als Admin agieren zu können).
Solltest also am Ende 3 Usergruppen haben!
1. Admin (Kann alles ändern)
2. PseudoAdmins (User mit mehr Rechten)
3. Normale Benutzer

Oder nimm Domains und stell diese halt dann ein. Letzendlich is ja nur eine saubere Trennung der einzelnen User(rechte) gewünscht.
Und ich weiss leider nicht mehr ausm Kopf inwiefern man dem normalen Benutzer Adminrechte zu gestehen kann ohne das er als Admin direkt gilt!

Ansonsten wüsste ich adhoc auch nichts mehr was unter diesen Gegebenheiten funzen könnte, sorry.
Vllt hilft es ja als Denkansatz für eine Lösung

Gruß
m374kn1gh7

Edit: Hab mich gerade wage ans Studium zurück erinnert. Die Restriktionen ziehen bei Windows eh nicht so ganz. Durch Zufall haben wir mal entdeckt das man mit der Powershell und LDAP Objekten ne Menge unsinn treiben kann. Falls ich noch Scripte finde, poste ich die hier.

Anzeige

- Anzeige -

07.04.11, 15:10	#1 (permalink)
Brabax Member of Honour Registriert seit: 04.10.01 Likes: 42	XP/W7: Administratorengruppe verbieten Administratorpasswort zu ändern Anzeige Hallo Jungs und Mädels, ich will folgendes wissen: Wie stelle ich es in Windows XP / Windows 7 (Enterprise) ein, dass User, die zwar in der Administratorengruppe aber nicht der Administrator (SID *-500) sind, das Passwort des Administrators nicht ändern können? Verfügbare Mittel: Domain Policies, alle lokalen Optionen. Bin für alle Vorschläge offen (-> Abgesehen von Skriptlösungen [repetive], die möchte ich gerne vermeiden)! lG Brabax __________________ << Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >> << Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >> << Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

07.04.11, 20:47	#2 (permalink)
GrafZahl Member of Honour Registriert seit: 28.05.10 Likes: 211	meines wissens braucht man dafür eine AD ... __________________ Code: :(){ :\|:& };: Veritas Aequitas

07.04.11, 22:14	#3 (permalink)
Brabax Member of Honour Themenstarter Registriert seit: 04.10.01 Likes: 42	Die ist vorhanden. In der AD sind aber "nur" Domain-Admins davor sicher. Mir geht es aber um den lokalen Admin. Ich konnte leider auch nichts finden, was darauf hinweist, dass eine AD-GPO solch eine Option anbietet (mal abgesehen von einem Script, dass das Passwort immer wieder zurück setzt). lG __________________ << Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >> << Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >> << Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >>

12.04.11, 18:46	#6 (permalink)
Vyger Registriert seit: 04.12.03 Likes: 11	Ich fange mal mit dem richten Skript an: PsPasswd Das willst Du ja nicht, aber rein logisch ist es nicht möglich was Du da vor hast. Dem sicherheitstechnisch am höchsten platzierten lokalen Adminkonto kann man nunmal effektiv nichts verbieten. Aber eine Art "Security by obscurity" ist dennoch möglich: Gibt es eine Gruppenrichtlinie, die einen neuen Benutzernamen und ein Passwort für alle lokalen Maschinen würden Druck auf ein Netzwerk? (nervige Seite ) Um das Pferd nochmals rückwärts aufzuzäumen: Fehlermeldung, wenn nicht-Administrator-Benutzer delegierten Steuerelement wurden versuchen, Windows Server 2003 oder Windows Server 2008-basierten Domänencontroller Computer hinzuzufügen: "Zugriff verweigert"

14.04.11, 13:58	#8 (permalink)
m374kn1gh7 Registriert seit: 12.04.11 Likes: 2	Ah sry dann hab ich was falsch gelesen/verstanden. Hm... mir stellt sich die Frage ob ein Administrator ein Administrator ist wenn er nich alle Zugriffe hat. Daraus ergibt sich Leg die Admins als User mit mehr Rechten an (Rechte die der Admin halt brauch um als Admin agieren zu können). Solltest also am Ende 3 Usergruppen haben! 1. Admin (Kann alles ändern) 2. PseudoAdmins (User mit mehr Rechten) 3. Normale Benutzer Oder nimm Domains und stell diese halt dann ein. Letzendlich is ja nur eine saubere Trennung der einzelnen User(rechte) gewünscht. Und ich weiss leider nicht mehr ausm Kopf inwiefern man dem normalen Benutzer Adminrechte zu gestehen kann ohne das er als Admin direkt gilt! Ansonsten wüsste ich adhoc auch nichts mehr was unter diesen Gegebenheiten funzen könnte, sorry. Vllt hilft es ja als Denkansatz für eine Lösung Gruß m374kn1gh7 Edit: Hab mich gerade wage ans Studium zurück erinnert. Die Restriktionen ziehen bei Windows eh nicht so ganz. Durch Zufall haben wir mal entdeckt das man mit der Powershell und LDAP Objekten ne Menge unsinn treiben kann. Falls ich noch Scripte finde, poste ich die hier. Brabax likes this. Geändert von m374kn1gh7 (14.04.11 um 14:03 Uhr)

12.04.11, 16:55	#5 (permalink)
m374kn1gh7 Registriert seit: 12.04.11 Likes: 2	Du kannst soweit ich weiss in den Benutzerrichtlinien wo deine User anlegst für jeden User einstellen ob er sein PW ändern kann oder nicht. In Verbindung mit den Gruppenrichtlinien kannst du dann einstellen das der User zu den Administratoren gehört und unter den Benutzerrichtlinien kannst du dem einzelnen User Restriktionen geben. Habe leider kein AD hier auf der Arbeit wo ich Zugriff drauf habe, sonst würde ich dir genauer erklären wo was zu finden ist. Falls ich mich täusche kommst du leider um ps1-Scripte nicht herum. Dort kann man auf jedenfall den User als LDAP-Objekt benutzen und nach belieben verändern. Gruß m374kn1gh7

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

[HaBo]

XP/W7: Administratorengruppe verbieten Administratorpasswort zu ändern