Howdie! Nachdem meine Diplomarbeit so gut wie über der Bühne ist - es fehlt noch ein wenig an der schriftlichen Ausarbeitung - hab' ich endlich Zeit, mich wieder um die interessanten Dinge im Leben zu kümmern ;-) Lasst uns philosophieren und diskutieren: Mit Group Policy Preferences gibt es die Möglichkeit, über die neuen CSEs Passworte lokaler Benutzer, unter anderem auch den lokalen Administratoren zu ändern. Coole Sache, zumal das Feature auf vielen Seiten gelobt wird. Das Adminpasswort wird bei der Verwendung der Preference-CSEs verschlüsselt in der XML-Datei auf dem SYSVOL abgelegt. Eine nähere Beschreibung dazu gibt's hier: http://blogs.technet.com/grouppolicy/archive/2008/08/04/passwords-in-group-p olicy-preferences.aspx Die Verschlüsselung funktioniert per 256bit-AES. AES ist eine symmetrische Verschlüsselung, wenn ich richtig in den Kryptographievorlesungen aufgepasst habe. Das bedeutet, dass die beiden Schlüssel zur Ver- und Entschlüsselung identisch sind. Da kein Schlüsselaustausch zwischen Clients und DCs stattfindet, muss der Schlüssel hardkodiert sein (und somit auf allen Windows-Systemen gleich!). Wie sicher kann diese Verschlüsselung dann sein, zumal der Schlüssel bekannt werden könnte und damit für jedermann einsehbar wäre? Die Passworte im SYSVOL wären dann auch nicht mehr sicher. Hätte die Preference-Methode, Adminpassworte zu wechseln dann noch einen Vorteil gegenüber einer Logon-Skript-Methode, ausser, dass es "bequemer" ist? Welche Alternativen zum Passwortwechsel gibt es denn? Ich hab' mal versucht, die Alternativen aufzulisten - Preferences sind bisher noch nicht dabei: http://www.frickelsoft.net/blog/?p=59 Wie denkt ihr darüber? Cheers, Florian