Archive: Day 15, Month 9, Year 2015

Accounts auf Windows 7 Loginseite verstecken

15.09.2015 yahe administration legacy security windows

Zur Einschulung meines Neffen habe ich ihm einen aufgearbeiteten Computer geschenkt. Als Sechsjähriger sollte er natürlich nur einen begrenzten Zugriff auf Systemfunktionen (Administration, Softwareinstallation, etc.) haben, was über einen eingeschränkten Account realisiert werden sollte. Gleichzeitig sollte es aber möglich sein, dass er den Rechner einschaltet kann und beim Hochfahren sofort in seinen Account eingeloggt wird. Das wiederum funktioniert nur, wenn es auf der Loginseite nur einen Account gibt, der ohne Passwort angelegt wurde. Also musste eine Lösung her, in einem eingeschränkten Account viel Administration unterbinden zu können und gleichzeitig nur einen Account auf der Windows-Loginseite zu haben.

Mein erster Schritt war, den vorhandenen, aber nicht sichtbaren, Administratoraccount in Windows 7 zu aktivieren. Dazu gebt ihr in das Suchfeld des Startmenüs die Buchstaben "cmd" ein. In der Liste darüber sollte euch die Kommandozeile als Ergebnis angezeigt werden. Macht einen Rechtsklick auf den Eintrag mit der Kommandozeile und führt sie als Administrator aus. In der Kommandozeile gebt ihr dann folgenden Befehl ein:

net user administrator /active:yes

Nun kann man sich als Administrator am System einloggen und ihm zum Beispiel ein Passwort geben. Weiterhin kann man nun den einzuschränkenden Account ordentlich konfigurieren (z.B. die Jugendschutzoptionen aktivieren). Leider hat man nun auf der Windows-Loginseite auch den Administrator-Account, der den automatischen Login verhindert. Um diesen wieder zu verstecken, können wir ein wenig Registry-Magie einsetzen. Wir erstellen uns eine "hide-admin.reg"-Datei mit folgendem Inhalt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"Administrator"=dword:00000000

Ebenso erstellen wir uns eine "show-admin.reg"-Datei mit diesem Inhalt:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList]
"Administrator"=dword:00000001

Dazu basteln wir uns noch zwei Batch-Dateien. Zuerst die "hide-admin.bat"-Datei:

runas /user:administrator "regedit hide-admin.reg"

Als zweites noch die "show-admin.bat"-Datei:

runas /user:administrator "regedit show-admin.reg"

Wenn wir nun mit dem eingeschränkten Account eingeloggt sind und den Administrator-Account auf der Windows-Loginseite verstecken wollen, rufen wir einfach die "hide-admin.bat"-Datei per Doppelklick auf. In der sich öffnenden Kommandozeile werden wir nach dem Passwort des Administrator-Accounts gefragt, das wir noch mit Enter bestätigen. Anschließend ist der Administrator-Account auf der Windows-Loginseite versteckt und beim Hochfahren loggt sich das System automatisch in den eingeschränkten Account ein.

Sollten wir nun administrative Aufgaben wahrnehmen müssen, rufen wir einfach im eingeschränkten Account die "show-admin.bat"-Datei auf, geben das Administrator-Passwort ein und bestätigen mit Enter. Anschließend können wir den Benutzer wechseln, die administrativen Aufgaben erledigen (z.B. Updates installieren, Software installieren, Konfigurationsänderungen vornehmen, etc.), danach wieder in den eingeschränkten Account wechseln und den Administrator-Account wieder verstecken.


Search

Links

RSS feed

Categories

administration (40)
arduino (12)
calcpw (2)
code (33)
hardware (16)
java (2)
legacy (113)
linux (27)
publicity (6)
review (2)
security (58)
thoughts (21)
windows (17)
wordpress (19)