Remove From My Forums

Windows 7 - Enable Admin Account

Frage
0

Anmelden

Hi,

auf welchen Registryschlüssel greift bei Windows 7 die lokale Richtlinie »Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Konten: Administratorkontostatus « zu?

Thx & Bye Tom

Montag, 14. März 2011 08:00

Antworten

|

Zitieren

Alle Antworten

0

Anmelden

auf welchen Registryschlüssel greift bei Windows 7 die lokale Richtlinie »Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Konten: Administratorkontostatus « zu?

Was genau meinst Du damit? Was möchtest Du erreichen?

Servus

Winfried

Montag, 14. März 2011 12:09

Antworten

|

Zitieren
0

Anmelden

Servus Winfried,

> Was genau meinst Du damit? Was möchtest Du erreichen?

nichts spezielles. Ich habe diese Richtlinie nur in meiner technischen Doku festgehalten und würde gerne der Vollständigkeit wegen, noch den dazu passenden Registry Eintrag dazu schreiben. Ich habe ihn nur leider nicht gefunden...

Thx & Bye Tom

Montag, 14. März 2011 12:44

Antworten

|

Zitieren
0

Anmelden

> Was genau meinst Du damit? Was möchtest Du erreichen?

nichts spezielles. Ich habe diese Richtlinie nur in meiner technischen Doku festgehalten und würde gerne der Vollständigkeit wegen, noch den dazu passenden Registry Eintrag dazu schreiben. Ich habe ihn nur leider nicht gefunden...

Dann könntest Du den ProcessMonitor beim festlegen mitlaufen lassen um so zu sehen, wo genau was geschrieben wird.

Servus

Winfried

Montag, 14. März 2011 12:49

Antworten

|

Zitieren
0

Anmelden

> Dann könntest Du den ProcessMonitor beim festlegen mitlaufen lassen um so zu sehen, wo genau was geschrieben wird.

Okay, da werden 1000ende von Einträgen pro Klick erzeugt, was nicht wirklich hilfreich ist. Ich konnte eine Änderung im Process Monitor verfolgen, wo ich genau gewusst habe, wie der Schlüssel heißt und wo er zu suchen ist und das war ein lausiger Eintrag unter 1000enden. Jetzt weiß ich aber noch nicht mal, nach was ich suchen sollte. Aber auch egal, es muss ja nicht unbedingt dokumentiert werden, da jetzt Stunden zu suchen bringt vermutlich nur meinem Ego etwas aber schön wäre es schon gewesen, wenn ich die Sache komplett hätte, vielleicht stolpere ich noch irgendwann mal drüber... ;-)

Thx & Bye Tom

Montag, 14. März 2011 13:15

Antworten

|

Zitieren
0

Anmelden

> Dann könntest Du den ProcessMonitor beim festlegen mitlaufen lassen um so zu sehen, wo genau was geschrieben wird.

Okay, da werden 1000ende von Einträgen pro Klick erzeugt, was nicht wirklich hilfreich ist. Ich konnte eine Änderung im Process Monitor verfolgen, wo ich genau gewusst habe, wie der Schlüssel heißt und wo er zu suchen ist und das war ein lausiger Eintrag unter 1000enden. Jetzt weiß ich aber noch nicht mal, nach was ich suchen sollte. Aber auch egal, es muss ja nicht unbedingt dokumentiert werden, da jetzt Stunden zu suchen bringt vermutlich nur meinem Ego etwas aber schön wäre es schon gewesen, wenn ich die Sache komplett hätte, vielleicht stolpere ich noch irgendwann mal drüber... ;-)

Evtl. wird auch nur ein das Resultat von net user Administrator /active eingetragen. ;)

Servus

Winfried

Montag, 14. März 2011 13:22

Antworten

|

Zitieren
0

Anmelden

> Evtl. wird auch nur ein das Resultat von net user Administrator /active eingetragen. ;)

Jupp, zumindest diese Möglichkeit wurde in der Doku festgehalten. Ein Filter auf die cmd.exe war zwar recht übersichtlich aber immer noch nicht aufschlussreich, ein weiterer Filter auf net.exe war wieder etwas geschwätziger aber auch hier konnte ich keinen einzelnen Eintrag herausfischen, der durch diese Option gesetzt wird. Möglicherweise wird auch eine ganze Reihe an Werten geändert, welche insgesamt einen aktivierten Adminaccount zur Folge haben. Ich stell die Sache jetzt einfach mal hinten an. Eine Möglichkeit habe ich noch im Feuer. Einmal die Registry vor und einmal nach der Änderung exportieren und diese beiden Dateien mit dem fc Kommando miteinander vergleichen. So habe ich das zumindest zu Zeiten von W2K noch gemacht...

Thx & Bye Tom

Montag, 14. März 2011 13:35

Antworten

|

Zitieren
0

Anmelden

Da hätte ich ein Stück Dokumentation aus den Security Guides von Microsoft:

"Accounts: Administrator account status" Not a Registry Key

Und aus nem Template für secedit:

;Specified in UI code - Accounts: Administrator account status

Das wird also irgendwie im Code der Security-Extension verwurstelt... Letztlich ist es natürlich doch irgendwie Registry (HKLM\SAM), aber das ist m.W. nicht öffentlich dokumentiert.

mfg Martin
Kein MVP, kein MCSE. Nur ein wenig Erfahrung.

Montag, 14. März 2011 14:05

Antworten

|

Zitieren

Beantworter
0

Anmelden

Hidden in Security oder SAM. Du kannst ihn nur über die GPPs steuern oder "net user" und ähnlichen.

Tschö

Mark

Montag, 14. März 2011 14:10

Antworten

|

Zitieren
0

Anmelden

> Da hätte ich ein Stück Dokumentation aus den Security Guides von Microsoft:

> "Accounts: Administrator account status" Not a Registry Key

Hättest du da noch einen Link zum passenden Artikel? Damit wäre dann auch meinem Wunsch nach Vollständigkeit genüge getan.

Thx & Bye Tom

Montag, 14. März 2011 14:22

Antworten

|

Zitieren
0

Anmelden

Für Vista war's noch einfacher - für Win 7 versteckt sich's hier drin:

http://technet.microsoft.com/en-us/library/cc677002.aspx

Da findet man dann für Administrator Account Status den "Type: Script".

mfg Martin
Kein MVP, kein MCSE. Nur ein wenig Erfahrung.

Montag, 14. März 2011 14:36

Antworten

|

Zitieren

Beantworter
0

Anmelden

Hi Martin,
Status den "Type: Script"

Wenn ich das gerade richtig sehe, daß du auf den Security Compliance Manager verweist, dann würde ich darauf tippen, das sich diese Angabe nicht auf den Wert als solchen bezieht, sondern auf die Art, wie er vom SCM verarbeitet werden kann und das wäre: secedit + INF Datei

Deswegen "script" ...

Tschö

Mark

Montag, 14. März 2011 16:08

Antworten

|

Zitieren
0

Anmelden

Moin,

Das hier könnte ungefähr hinhauen:

http://4sysops.com/archives/offline-enable-the-built-in-administrator-account-in-windows-7-and-vista/

Im Procmon nach HKLM\SAM\SAM\DOMAINS\Account\F suchen, ungefähr 10 Prozess-Schritte nach dem letzten Aufruf der MMC.

Gruß,

Michael
lernschmiede.de

Dienstag, 15. März 2011 01:22

Antworten

|

Zitieren
0

Anmelden

> http://4sysops.com/archives/offline-enable-the-built-in-administrator-account-in-windows-7-and-vista/

Das ist doch mal ein interessanter Artikel. Ich wollte den Thread schon aufgeben und dann so was. Wir konnten dem Artikel bis zu dem Punkt folgen, wo der HEX Wert des Administrators editiert wird, allerdings konnten wir den ominösen F-Key nicht finden, der gesamte Administrator Schlüssel ist nur 4 Byte lang. Wir haben es aber auch an einem XP getestet. Unter Windows 7 hat unsere Version von UBCD (4.1) seinen Dienst versagt, jetzt probieren wir es mit einer neueren Version noch einmal. Ich berichte dann was dabei raus gekommen ist.

Aber mir drängt sich mittlerweile eine ganz andere Frage auf. Unter Windows 7 soll ja das Administrator Konto default deaktiviert sein. Wenn man sich jetzt nicht mehr an einem PC anmelden kann, weil das Passwort verloren ging, haben wir bislang per Offline Regsitry Editor einfach das Admin Passwort zurückgesetzt. Dieser Workaround würde ja bei Winodws 7 mit deaktivierten Admin Account so gar nicht mehr funktionieren; Fazit: Dieser Registry Hack zum aktivieren wird dann wohl sogar nötig sein, oder gibt es da noch einen anderen Trick?

Aber Danke auf alle Fälle für diesen interessanten Artikel, das war mehr als ich erwartet hatte :-)

Bye Tom

Dienstag, 15. März 2011 09:46

Antworten

|

Zitieren
0

Anmelden

Aber mir drängt sich mittlerweile eine ganz andere Frage auf. Unter Windows 7 soll ja das Administrator Konto default deaktiviert sein. Wenn man sich jetzt nicht mehr an einem PC anmelden kann, weil das Passwort verloren ging, haben wir bislang per Offline Regsitry Editor einfach das Admin Passwort zurückgesetzt. Dieser Workaround würde ja bei Winodws 7 mit deaktivierten Admin Account so gar nicht mehr funktionieren; Fazit: Dieser Registry Hack zum aktivieren wird dann wohl sogar nötig sein, oder gibt es da noch einen anderen Trick?

Ich bin mir nicht ganz sicher, aber mit dem entsprechenden Offline Tool kann man AFAIR auch den Admin Account aktivieren. Ist schon zu lange her. ;) Wenn allerdings der Client in einer Domain ist, lässt sich doch via GPO der Admin Account wieder aktivieren. Dann brauchts den ganzen Zauber nicht.

Servus

Winfried

Dienstag, 15. März 2011 09:56

Antworten

|

Zitieren
0

Anmelden

Servus Winfried,

>Ich bin mir nicht ganz sicher, aber mit dem entsprechenden Offline Tool kann man AFAIR auch den Admin Account aktivieren. Ist schon zu lange her. ;) Wenn >allerdings der Client in einer Domain ist, lässt sich doch via GPO der Admin Account wieder aktivieren. Dann brauchts den ganzen Zauber nicht.

jupp um das Aktivieren des Admin Accounts geht es hier prinzipiell, wobei das Interesse, dass jetzt in einer Offline Registry durchzuführen, zugegebener Maßen rein akademisch gewesen ist. Aber das Ergebnis ist wirklich hochinteressant, wir konnten dem Tutorial[1], welches Michael gepostet hat, mit einer neuen Version des von uns sonst auch verwendeten Offline Registry Editor[2] folgen. Wir konnten demnach den Administrator Account einer Win 7 Workstation unter folgendem Pfad umstellen:

HKLM\SAM\Domains\Accounts\Users\000001F4\F das Byte im Offset 38 entweder von 10 auf 11 oder umgekehrt ändern und hatten entweder einen aktivierten (10) oder deaktivierten (11) Admin Account.

[1] http://4sysops.com/archives/offline-enable-the-built-in-administrator-account-in-windows-7-and-vista/

[2] http://pogostick.net/~pnh/ntpasswd/

Damit sollte meine ursprüngliche Frage wohl ausreichend beantwortet sein ;-)

Thx & Bye Tom

Dienstag, 15. März 2011 12:00

Antworten

|

Zitieren