Teppichmaler 0 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 Hallo Zusammen Nach langem mitlesen und vielen gefundenen Lösungen bei euch, bin ich bei dieser Frage bis jetzt noch nicht fündig geworden. Ich habe in einer SBS2011 und ca. 40 Win7 und 5 Win8 Clients. Nun soll ich auf allen Clients das Admin Passwort ändern. Das Problem dabei ist, das ein MS-Patch die Änderung per GPO verunmöglicht hat. Ich habs dann per pspasswd.exe versucht, bin aber gescheitert. Ich bin jetzt auf der Suche nach anderen Möglichkeiten. Habt ihr da andere Möglichkeiten um sowas zu ändern? oder wie geht ihr mit diesem Thema um? Grüsse Teppichmaler Zitieren Link zu diesem Kommentar
NorbertFe 2.062 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 Dann deinstallier den einen Patch auf dem SBS und konfigurier es per GPP. Immer noch besser so als das per Batch oder sonstigem Kram zu regeln. Wenn man viel Zeit und Lust hat, dann siehe hier: http://code.msdn.microsoft.com/windowsdesktop/Solution-for-management-of-ae44e789#content (Wollt ich eigentlich schon lange mal machen ;)) Bye Norbert Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 ...und wenn das nur ein "One time task" ist: Schau Dir psexec mal genauer an... Zitieren Link zu diesem Kommentar
Teppichmaler 0 Geschrieben 24. Juli 2014 Autor Melden Teilen Geschrieben 24. Juli 2014 Danke für die schnellen Antworten. Ich werde es jetzt so versuchen, dass ich einen Domänenaccount mit Lokalen Adminrechten einrichte (für Support und so...) und dann das Lokale Adminkonto mit einem Random Passwort versehe, so wie in Norberts link. Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. Juli 2014 Melden Teilen Geschrieben 24. Juli 2014 (bearbeitet) Gute Idee. Aber mach den nur zum lokalen Admin, nicht zum Domänenadmin. Domänenadmins sind nur zum Anmelden an Domänencontrollern da. Der Grund für das Abschalten der GPP-Funktion liegt darin, das das Passwort zwar verschlüsselt abgespeichert wird, der private Schlüssel aber von uns im Rahmen juristischer Auflagen als Schnittstelle dokumentiert werden musste: http://msdn.microsoft.com/de-de/library/cc422924.aspx Das ist einfach auszulesen und gut zu dekodieren: http://blog.csnc.ch/2012/04/exploit-credentials-stored-in-windows-group-policy-preferences/ Deswegen warnen wir vor dem Einsatz der Funktion schon seit Jahren: http://blogs.technet.com/b/grouppolicy/archive/2008/08/04/passwords-in-group-policy-preferences.aspx Mit MS14-025 haben wir die Funktion deaktiviert: http://support.microsoft.com/kb/2962486 Die ganze Funktion stammt von den früheren Entwicklern von PolicyMaker und war schon im Produkt enthalten, als wir es übernommen hatten. Alternative Ansätze findest Du hier: http://www.darkreading.com/risk/managing-the-local-admin-password-headache/d/d-id/1139373? Ich war immer ein Fan von Passgen: http://blogs.technet.com/b/steriley/archive/2008/09/29/passgen-tool-from-my-book.aspx bearbeitet 24. Juli 2014 von Daniel -MSFT- 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.