Georg Diekhaus GmbH & Co. KG

Temporären Account mit Adminrechten über ein Netzwerk versorgen bzw. anlegen

Bei der Verwaltung von Computern im Netzwerk kann es vorkommen, dass man einem User, z.B. für die lokale Installation eines Updates, kurzfristig Adminrechte geben muss. Jetzt kann man sich natürlich per Fernwartung auf dem Rechner einloggen, oder die Nutzerrechte in der Domäne ändern oder was weiß ich noch alles, aber wenn man einen schnellen und einfachen Weg sucht, dann hätte ich hier mal einen Vorschlag.

Sie stellen als Administrator eine Konsolenverbindung (z.B. per Telnet) zu dem entsprechenden PC her und geben dann dort folgendes ein:

net localgroup "Administratoren" benutzer /add

Damit erhält der User "benutzer" lokale Adminrechte. Natürlich soll er diese nicht behalten und somit gibt es natürlich auch den umgekehrten Fall:


net localgroup "Administratoren" benutzer /delete

Und somit wäre der "benutzer" wieder aus der Gruppe der Admins entfernt.

Darüber hinaus kann es natürlich auch von Nöten sein, dass man für eine bestimmte Aufgabe zu einem bestimmten Zeitpunkt einen komplett neuen User mit Adminrechten benötigt. In einer Domäne ist das natürlich kein Problem, aber wenn man keine Domäne hat, oder aus anderen Gründen der Adminaccount lokal vorhanden sein muss kann man folgenden Weg beschreiten:

Wiederum als Administrator eine Konsolenverbindung zu dem entsprechenden Rechner herstellen und dann:


net user benutzer passwort /add /passwordchg:no /passwordreq:yes /expires:never

Damit ist der lokale User "benutzer" eingerichtet. Dieser hat aber nur normale Nutzerrechte. Für das ändern der Nutzerrechte den oberen Schritt durchführen. Und sollte der Account nicht mehr benötigt werden kann er natürlich auch gelöscht werden:


net user benutzer /delete

Und damit ist der User wieder gelöscht.

Noch eben kurz zur Syntax beim einrichten des Users.

Mit "/passwordchg:no" wird verhindert, dass der User das PW ändern kann.

Mit "/passwordreq:yes" wird vorgegeben, dass sich der Benutzer mit einem PW anzumelden hat. Somit kann man z.B. den Account schon mal vorbereiten und so lange man dem User das PW nicht gibt kann er sich ja auch noch nicht einloggen.

Mit "/expires:never" wird vorgegeben, dass der Account nicht von alleine abläuft. Sollte bereits beim Anlegen des Accounts bekannt sein, wann dieser ungültig werden soll, dann kann man natürlich auch statt "never" z.B. "23.Aug2010" angeben. Das Datumsformat ist natürlich abhängig vom eingestellten Format auf dem jeweiligen System.