local admin / Anmeldung verweigern / ausführen als

[shuter 10]

Hallo zusammen

Ich habe einen User "admin" als localadmin angelegt. Der User ist also in der lokalen Gruppe "Administratoren".

 

Die Person die mit dem Rechner arbeitet soll mit dem nicht LoclAdmin User arbeiten. Das wäre dann der lokale User "Hans".

Wenn der User "Hans" erhöhte Rechte braucht soll er sich mit dem User "admin" anmelden. 

 

Um zu verhindern, dass die Person grad von Anfang an mit dem User "admin" einloggt und so arbeitet, habe ich das Konto "admin" via Registrierung ausgeblendet.

„HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList“. Hier einen DWORD32 Eintrag "admin" erstellt.

Der User "admin" wird vor dem Logon nun nicht mehr angezeigt.

 

Wenn ich jetzt mit dem User "Hans" anmelde und zum Beispiel regedit als Administrator ausführe wird mir der lokale User "admin" nicht angezeigt. Ich habe auch keine Möglichkeit Username und Passwort einzugeben. Ich kann nur User auswählen, nicht aber User "admin".

 

Wenn ich die regedit.exe suche, mit gedrückter Umschalttaste und CTRL Teste rechtklicke, gibt es einen Eintrag im Contextmenu "als anderen Benutzer starten"

 

Wie kriege ich es hin, dass das Dialogfenster mit Eingabe von Benutzername und Passwort angezeigt wird wenn ich Regedit als "Administrator ausführen" wähle"

 

 

Infos:

OS ist Win10 2004

Rechner ist nicht Mitglied einer Domain.

 

Danke für Hilfe und Tipps

 

Gruss Sascha

[Gulp 260]

Ausblenden ist halt ausblenden, das gilt systemweit.

 

Hier kann man für den User Admin gescheite Passwörter verwenden und der User kann sich nur bei Kenntnis derselben mit dem User Admin anmelden bzw diesen verwenden.

 

Grüsse

 

Gulp

[shuter 10]

Hi Gulp

Danke für den Hinweis. 

Es ist mir bewusst, dass Ausblenden gleich Ausblenden Systemweit heisst. Ich dachte halt ich frag mal nach ob das geht wenn der Client nicht in einer Domain ist.

Ist er in der Domain, dann ist das möglich. 

 

Braucht ein User erhöhte Rechter kommt immer eine Benutzer / Passwort Abfrage wo ich etwas reinschreiben kann.

Warum das nur in einer Domain möglich ist finde ich komisch und darum die Frage.

 

Gruss

 

 

[NilsK 2.957]

Moin,

 

Der ganze Ansatz ist doch unsinnig. Wenn der User das Kennwort für den Admin hat, dann ist er Admin. Das Versteckspiel kannst du dir sparen.

 

Gruß, Nils

 

[BOfH_666 577]

vor 11 Stunden schrieb NilsK:

Der ganze Ansatz ist doch unsinnig. Wenn der User das Kennwort für den Admin hat, dann ist er Admin. Das Versteckspiel kannst du dir sparen.

Das sehe ich genauso. Und wenn Hans halbwegs intelligent ist und fähig ist Google zu benutzen, kostet es ihn 5 Minuten, um herauszufinden, wie man den admin wieder einblendet. Und wenn er dann noch einen Moment weiter überlegt, erkennt er, dass er das gar nicht braucht. Er macht mit dem User admin einfach sein Konto "Hans" auch zum admin und ist aller Sorgen ledig.   

 

Security through obscurity funktioniert einfach nicht wirklich.

bearbeitet 6. November 2020 von BOfH_666

[Weingeist 159]

Tja für diese Fälle hilft halt nur eines: Sensibilisierung der Mitarbeiter. Da führt kein Weg daran vorbei.

Das heisst in diesem Fall: klar machen das mit dem normalen User gearbeitet wird und wenn er wirklich den Admin braucht, dann meldet er sich damit an. Und nur dann.

 

Wobei in den allermeisten Fällen so oder so darauf verzichtet werden kann einem User generell Admin-Rechte zu gewähren. Die Spezialfälle lassen sich fast alle - zugegebenermassen teilweise mit hohem Aufwand - z.Bsp. mit Tasks oder der Rechtevergabe etc. erschlagen. Oft benötigt auch einfach eine Komponente einer Software die erhöhten Rechte. In der Regel bei älterer Software der Fall. Das kriegt man sehr oft mit eigenen Programm-Kompatibilitäts-Definitionen auf die Reihe. Halt auch wieder mit Aufwand.