XP/W7: Administratorengruppe verbieten Administratorpasswort zu ändern

Brabax

New member
#1
Hallo Jungs und Mädels,

ich will folgendes wissen:
Wie stelle ich es in Windows XP / Windows 7 (Enterprise) ein, dass User, die zwar in der Administratorengruppe aber nicht der Administrator (SID *-500) sind, das Passwort des Administrators nicht ändern können?

Verfügbare Mittel:
Domain Policies, alle lokalen Optionen.

Bin für alle Vorschläge offen (-> Abgesehen von Skriptlösungen [repetive], die möchte ich gerne vermeiden)!

lG

Brabax
 

Brabax

New member
#3
Die ist vorhanden.
In der AD sind aber "nur" Domain-Admins davor sicher.
Mir geht es aber um den lokalen Admin.
Ich konnte leider auch nichts finden, was darauf hinweist, dass eine AD-GPO solch eine Option anbietet (mal abgesehen von einem Script, dass das Passwort immer wieder zurück setzt).

lG
 
#5
Du kannst soweit ich weiss in den Benutzerrichtlinien wo deine User anlegst für jeden User einstellen ob er sein PW ändern kann oder nicht.
In Verbindung mit den Gruppenrichtlinien kannst du dann einstellen das der User zu den Administratoren gehört und unter den Benutzerrichtlinien kannst du dem einzelnen User Restriktionen geben.

Habe leider kein AD hier auf der Arbeit wo ich Zugriff drauf habe, sonst würde ich dir genauer erklären wo was zu finden ist.

Falls ich mich täusche kommst du leider um ps1-Scripte nicht herum. Dort kann man auf jedenfall den User als LDAP-Objekt benutzen und nach belieben verändern.


Gruß
m374kn1gh7
 
#6
Ich fange mal mit dem richten Skript an:
PsPasswd

Das willst Du ja nicht, aber rein logisch ist es nicht möglich was Du da vor hast. Dem sicherheitstechnisch am höchsten platzierten lokalen Adminkonto kann man nunmal effektiv nichts verbieten:p.

Aber eine Art "Security by obscurity" ist dennoch möglich:
Gibt es eine Gruppenrichtlinie, die einen neuen Benutzernamen und ein Passwort für alle lokalen Maschinen würden Druck auf ein Netzwerk? (nervige Seite X()

Um das Pferd nochmals rückwärts aufzuzäumen:
Fehlermeldung, wenn nicht-Administrator-Benutzer delegierten Steuerelement wurden versuchen, Windows Server 2003 oder Windows Server 2008-basierten Domänencontroller Computer hinzuzufügen: "Zugriff verweigert"
 

Brabax

New member
#7
Danke für die Anregungen.

Ich glaube aber, dass ihr es noch nicht ganz verstanden habt.

Nehmen wir an, wir haben auf Windows den
"Administrator" (500),
"Brabax" (Gruppe Administratoren)
(--- hier dazwischen gibt es ja effektiv nichts mehr *grr* ---)
"Benutzer" (Gruppe Benutzer)

Und so möchte ich es haben:

Der Administrator darf das Passwort von Administrator, Brabax und Benutzer ändern.

Brabax darf nur das Passwort von Brabax und Benutzer ändern.

Benutzer darf nur das Passwort von Benutzer ändern.

-------------------------------------------------------------

@m374kn1gh7:
Wenn ich es richtig verstehe, geht dein Ansatz davon aus, dass er es nicht selber ändern können soll. Aber mit einem anderen "Admin" kann ich es ja weiterhin ändern.

@Vyger:
Das willst Du ja nicht, aber rein logisch ist es nicht möglich was Du da vor hast. Dem sicherheitstechnisch am höchsten platzierten lokalen Adminkonto kann man nunmal effektiv nichts verbieten
Ich will den Pseudo-Administratoren was verbieten, nicht dem Administrator :)

----------------------------------------------------

Machen wir es anders:
Ich brauche für meine User volle Admin-Rechte, außer dem ändern des Passworts des 500er-Administrators (bzw. höherrangiger Benutzer). :)

Grüße
 
#8
Ah sry dann hab ich was falsch gelesen/verstanden.
Hm... mir stellt sich die Frage ob ein Administrator ein Administrator ist wenn er nich alle Zugriffe hat.

Daraus ergibt sich :)
Leg die Admins als User mit mehr Rechten an (Rechte die der Admin halt brauch um als Admin agieren zu können).
Solltest also am Ende 3 Usergruppen haben!
1. Admin (Kann alles ändern)
2. PseudoAdmins (User mit mehr Rechten)
3. Normale Benutzer

Oder nimm Domains und stell diese halt dann ein. Letzendlich is ja nur eine saubere Trennung der einzelnen User(rechte) gewünscht.
Und ich weiss leider nicht mehr ausm Kopf inwiefern man dem normalen Benutzer Adminrechte zu gestehen kann ohne das er als Admin direkt gilt!

Ansonsten wüsste ich adhoc auch nichts mehr was unter diesen Gegebenheiten funzen könnte, sorry.
Vllt hilft es ja als Denkansatz für eine Lösung :)

Gruß
m374kn1gh7


Edit: Hab mich gerade wage ans Studium zurück erinnert. Die Restriktionen ziehen bei Windows eh nicht so ganz. Durch Zufall haben wir mal entdeckt das man mit der Powershell und LDAP Objekten ne Menge unsinn treiben kann. Falls ich noch Scripte finde, poste ich die hier.
 
Zuletzt bearbeitet:
Oben