Passwortloser Account für MachMichAdmin

Ich habe einige eingeschränkte Benutzer, denen ich kein Passwort zum Anmelden zumuten kann. Wenn ich das Skript MachMichAdmin.cmd aus einem dieser Accounts heraus aufrufe und dann am Passwort-Prompt einfach Return drücke, bekomme ich die Fehlermeldung „1327: Benutzerkontenbeschränkung“. Kann ich die vermeiden?

Ja. In der Grundeinstellung erlaubt Windows zwar keinen Wechsel in einen passwortlosen Account per runas. Das können Sie jedoch freischalten, indem Sie in der Registry im Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa den DWORD-Wert LimitBlankPasswordUse auf 0 setzen. Dann fragt runas zwar weiterhin nach einem Passwort, akzeptiert aber auch ein leeres.

Unter Windows XP Pro und Server 2003 können Sie diesen Wert auch komfortabel mit secpol.msc ändern. Um leere Passwörter zu erlauben, deaktivieren Sie unter Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen den Eintrag „Konten: Lokale Kontenverwendung von leeren Kennwörtern auf Konsolenanmeldung beschränken“.

Doch Vorsicht! Mit dieser Manipulation erlauben Sie auch den Zugriff per Remote Desktop ohne Passwort, der normalerweise nicht möglich ist. Setzen Sie also für alle Accounts der Gruppen „Remotedesktopbenutzer“ und „Administratoren“ ein Passwort oder schalten Sie den Remote Desktop ab.

Unter Windows 2000 funktioniert runas übrigens grundsätzlich auch mit passwortlosen Accounts. ()