Deaktivere administrator konto

Nej self. kan man ikke det. Du kan sætte et password på og låse den på den måde. Der skal altid være adgang for en administrator så en bruger ikke låser sig selv ude ved at glemme password og en geninst af windows er nødvendig

Du kan nægte administrator i at kunne logge på, hvis det var noget, ved at tilføje ham her (secpol.msc):

local policies > user rights assignment > denly logon locally

bleze, jeg ved nu ikke om det er en selvfølge. Under xp kan du sagtens disable kontoen

Ja, det er jo netop det, man kan. Det er klart, at man skal have oprettet en anden bruger med fulde administratorrettigheder, inden man deaktiverer kontoen, men det kan altså lade sig gøre - i XP. Men her går det jo altså på Windows 2000. Jeg er opmærksom på muligheden for at hindre logon for Administrator i brugerrettigheder - men ville gerne undersøge, om der er en mulighed for egentlig deaktivering. (Jeg ønsker altså ikke at fjerne kontoen).

Du kan da gøre ham til medlem af en anden gruppe som ikke har adgang f.x. Guests, men jeg kan ikke lige forstå hvorfor?

Man kan godt melde den den indbyggede konto 'Administrator' ind i gruppen af Gæster, men det kan ikke lade sig gøre at melde den ud af gruppen administratorer - og så er man jo lige vidt.

Det er mest af nysgerrighed, jeg vil undersøge, om deaktivering er mulig.

->aiglon - det kan man alstå godt i w2000 , muligvis ikke i xp , men brugeren har jo oprettet et 2000 spm.

Er der et specielt formål med, at du vil deaktivere kontoen? Du kan ikke klare det ved at omdøbe den?

dannyboyd, jeg vil da også gerne have opskriften på hvordan du melder den lokale admin ud af administratorgruppen

Jo, man kan jo nok omdøbe Administrator - og eventuelt lave en "falsk" Administrator konto med begrænsede rettigheder. Det er nok også det, jeg må gøre. Men som sagt var jeg bare nysgerrig efter en eventuel workaround for rent faktisk at deaktivere. Når det nu kan gøres i XP, forstår jeg ikke helt, hvorfor det er umuligt i W2000.

ømdøb administrator- gå i "member of" tabben og fjern administratorer - tilføj til guests gruppen , men det skal gøres fra en anden konto med admin rettighed.

at tilmelde administrator til gæstegruppen gør da ikke kontoen mindre værd.

gæst + administrator = administrator

Jeg skrev jo at du skal fjerne administartoren fra administratorgruppen og tilføje den til guestgruppen , hvorfor er det så svært at forstå?

Har du rent faktisk prøvet din løsning? Windows nægter kategorisk at fjerne den indbyggede administrator fra administratorgruppen..

ja jeg kan gøre det på min egen pc ved at rename administrator og gå i "member of" og så fjerne ham fra administratorgruppen og tilføje ham til Guests.
Det kræver selvfølgelig at man gør det fra en anden konto med admin rettighed.

Nej det må i sgu undskylde venner . den godtager det ikke når man vælger ok - så konklusionen må være at det umiddelbart ikke er muligt, sorry. så bare afvis mit svar.

Jeg mener altså også, at jeg - efter flere forgæves forsøg - var nået frem til den konklusion, at det er umuligt at udmelde Administrator af gruppen administratorer.

Problemet med en indbygget konto, der ikke kan fjernes eller deaktiveres er vel, at en hacker véd, at den er der - og derfor vil prøve at tvinge sig adgang til den, indtil det lykkes. (Smart nok kan Gæst jo heldigvis deaktiveres). Derfor må konklusionen vel også være, at bedste løsning - hvis der ikke kan findes en deaktiveringsmulighed - er at omdøbe kontoen.

Der findes 1001 smutveje i Windows. Så du skal rundt flere steder. Nøjes du kun med at omdøbe, kan en hacker godt finde kontoen alligevel, ved at søge på SID, da denne altid er 500 for administrator.

Men hvis du
* sætter en policy, så kontoen ikke kan bruges fra netværket eller lokalt
* bruger et meget stærkt password
* omdøber kontoen
* disabler enumeration af sam accounts
* - hvad jeg måtte have glemt

så er du da på vej.. :)

Det som plx beskriver gør du ved at gå i administration- local sec.pol.- local pol. - user rights assignment - "access this computer from network"

tilføj din egen bruger of fjern alle andre incl. administrators.

Det samme kunne du gøre med "load a& unload device drivers" og "Log on locally", men husk at tilføje dig selv ellers kan det faktisk godt lade sig gøre at lukke alle brugere ude fra logon.

Jeg har gjort præcis som anført af jer, plx og dannyboyd. Hvordan deaktiverer man enumeration af sam accounts og hvad er fordelen ved også at umuliggøre indlæsning af enhedsdrivere for alle andre end min egen bruger?

Send svar, så deler jeg points mellem jer. Er det OK?

Rent teoretisk kan andre ikke logge på udefra og køre uheldige driverfiler/opdateringer på maskinen med den indstilling, men vi har ikke rigtigt forstået far starten om det er det du ville - andet end vi har gættet at du vil udelukke andre i at kunne overtage admin kontoen og lave noget på pcén og det er da i pincippet fornuftigt nok.

svar sendt

Rent teknisk kan det fakisk godt lade sig gøre, at udmelde den indbyggede admin fra administratorgruppen. Det kræver en tur rundt om registry. Hvis der er interesse, kan jeg godt skrive en guide..

squashguy --> er meget interesseret. Det lyder spændende. Jeg regnede egentlig med, at det kunne lade sig gøre helt at deaktivere kontoen ved at redigere i registreringsdatabasen, men det kan jeg forstå er umuligt. Udmelding af administratorgruppen lyder dog også meget interessant.

Jeg har nu omdøbt administrator konto og forhindret lokal og netværkslogon gennem security policies, som beskrevet ovenfor.

http://www.eksperten.dk/artikler/494