Freigeben über

Anhang G: Schützen von Administratorgruppen in Active Directory

Anhang G: Schützen von Administratorgruppen in Active Directory

Wie bei den Gruppen „Unternehmensadministratoren“ (EA) und „Domänenadministratoren“ (DA) sollte die Mitgliedschaft in der Gruppe „Integrierte Administratoren“ (BA) nur in Build- oder Notfallwiederherstellungsszenarien erforderlich sein. In der Gruppe „Administratoren“ sollten keine allgemeinen Benutzerkonten vorhanden sein, mit Ausnahme des integrierten Administratorkontos für die Domäne, wenn es wie in Anhang D: Sichern integrierter Administratorkonten in Active Directory beschrieben geschützt wurde.

Administratoren sind standardmäßig die Besitzer der meisten AD DS-Objekte in ihren jeweiligen Domänen. Die Mitgliedschaft in dieser Gruppe kann in Build- oder Notfallwiederherstellungsszenarien erforderlich sein, in denen der Besitz oder die Fähigkeit zur Übernahme des Besitzes von Objekten erforderlich ist. Darüber hinaus erben DAs und EAs eine Reihe ihrer Rechte und Berechtigungen aufgrund ihrer Standardmitgliedschaft in der Gruppe „Administratoren“. Die Standardgruppenschachtelung für privilegierte Gruppen in Active Directory sollte nicht geändert werden, und die Gruppe „Administratoren“ jeder Domäne sollte wie in den folgenden schrittweisen Anweisungen beschrieben geschützt werden.

! ACHTUNG Die in diesem Dokument beschriebenen Schritte sollten vor der Ausführung in der Produktion in einer anderen Umgebung als der Produktionsumgebung getestet werden.

Für die Gruppe „Administratoren“ in jeder Domäne in der Gesamtstruktur:

  1. Entfernen Sie alle Mitglieder aus der Gruppe „Administratoren“, ggf. mit Ausnahme des integrierten Administratorkontos für die Domäne, vorausgesetzt, es wurde wie in Anhang D: Sichern integrierter Administratorkonten in Active Directory beschrieben geschützt.

  2. In Gruppenrichtlinienobjekten, die mit Organisationseinheiten verknüpft sind, die Mitgliedsserver und Arbeitsstationen in jeder Domäne enthalten, sollte die BA-Gruppe den folgenden Benutzerrechten unter Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten hinzugefügt werden:

    • Zugriff vom Netzwerk auf diesen Computer verweigern

    • Anmelden als Batchauftrag verweigern

    • Anmelden als Dienst verweigern

  3. Auf der Organisationseinheit für Domänencontroller in jeder Domäne in der Gesamtstruktur sollten der Gruppe „Administratoren“ die folgenden Benutzerrechte gewährt werden:

    • Auf diesen Computer vom Netzwerk aus zugreifen.

    • Lokale Anmeldung zulassen

    • Anmelden über Remotedesktopdienste zulassen

  4. Die Überwachung sollte so konfiguriert werden, dass Warnungen gesendet werden, wenn Änderungen an Eigenschaften oder Mitgliedschaften der Gruppe „Administratoren“ vorgenommen werden.

Schrittweise Anweisungen zum Entfernen aller Mitglieder aus der Gruppe „Administratoren“

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Active Directory-Benutzer und -Computer.

  2. Führen Sie die folgenden Schritte aus, um alle Mitglieder aus der Gruppe „Administratoren“ zu entfernen:

    1. Doppelklicken Sie auf die Gruppe Administratoren, und klicken Sie auf die Registerkarte Mitglieder.

      Screenshot: Registerkarte „Mitglieder“ zum Entfernen aller Mitglieder aus der Gruppe „Administratoren“.

    2. Wählen Sie ein Mitglied der Gruppe aus, klicken Sie auf Entfernen, anschließend auf Ja und dann auf OK.

  3. Wiederholen Sie Schritt 2, bis alle Mitglieder der Gruppe „Administratoren“ entfernt wurden.

Schrittweise Anweisungen zum Sichern von Administratorengruppen in Active Directory

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot, der zeigt, wo Sie „Neu“ auswählen, um Administratorgruppen in Active Directory zu schützen.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie anschließend auf OK (wobei der Name des Gruppenrichtlinienobjekts der Name dieses Gruppenrichtlinienobjekts ist).

    Screenshot, der zeigt, wo Sie das Gruppenrichtlinienobjekt im Dialogfeld „Neues Gruppenrichtlinienobjekt“ benennen, um Administratorgruppen zu schützen.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot, der zeigt wo Sie die Option „Benutzerrechteadministrator“ auswählen können, um Administratorgruppen zu schützen.

  7. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Administratoren“ mit den folgenden Schritten über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen können:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass Mitglieder der Gruppe „Administratoren“ über das Netzwerk auf Mitgliedsserver und Arbeitsstationen zugreifen.

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ wie folgt als Batchauftrag anmelden:

    1. Doppelklicken Sie auf Anmelden als Batchauftrag verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ als Batchauftrag anmelden.

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ wie folgt als Dienst anmelden:

    1. Doppelklicken Sie auf Anmelden als Dienst verweigern, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot: So konfigurieren Sie die Benutzerrechte, um zu verhindern, dass sich Mitglieder der Gruppe „Administratoren“ als Dienst anmelden.

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  11. Führen Sie die folgenden Schritte aus, um unter Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit den Organisationseinheiten für Mitgliedsserver und Arbeitsstationen zu verknüpfen:

    1. Navigieren Sie zu <Gesamtstruktur>>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, auf die das Gruppenrichtlinienobjekt angewendet wird, und klicken Sie dann auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot: Menüoption „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“ beim Rechtsklicken auf die Organisationseinheit.

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot: Auswählen der soeben erstellten Gruppenrichtlinienobjekts.

    4. Erstellen Sie Links zu allen anderen Organisationseinheiten, die Arbeitsstationen enthalten.

    5. Erstellen Sie Verknüpfungen mit allen weiteren Organisationseinheiten, die Mitgliedsserver enthalten.

      Wichtig

      Wenn Jumpserver zum Verwalten von Domänencontrollern und Active Directory verwendet werden, stellen Sie sicher, dass sich die Jumpserver in einer Organisationseinheit befinden, mit der diese Gruppenrichtlinienobjekte nicht verknüpft sind.

      Hinweis

      Wenn Sie Einschränkungen für die Gruppe „Administratoren“ in Gruppenrichtlinienobjekten implementieren, wendet Windows die Einstellungen nicht nur auf die Mitglieder der Gruppe „Administratoren“ der Domäne auch auf Mitglieder der lokalen Administratorgruppe eines Computers an. Daher sollten Sie beim Implementieren von Einschränkungen in der Gruppe „Administratoren“ Vorsicht walten lassen. Obwohl es ratsam ist, Netzwerk-, Batch- und Dienstanmeldungen für Mitglieder der Gruppe „Administratoren“ zu verbieten, wo immer dies möglich ist, sollten lokale Anmeldungen oder Anmeldungen über Remotedesktopdienste nicht eingeschränkt werden. Das Blockieren dieser Anmeldetypen kann die legitime Verwaltung eines Computers durch Mitglieder der lokalen Administratorgruppe blockieren.

      Der folgende Screenshot zeigt Konfigurationseinstellungen, die zusätzlich zum Missbrauch von integrierten lokalen oder Domänenadministratorgruppen den Missbrauch von integrierten lokalen und Domänenadministratorkonten blockieren. Beachten Sie, dass das Benutzerrecht Anmelden über Remotedesktopdienste verweigern die Gruppe „Administratoren“ nicht einschließt, da die Einbeziehung dieser Gruppe in diese Einstellung diese Anmeldungen auch für Konten blockieren würde, die Mitglieder der Gruppe „Administratoren“ des lokalen Computers sind. Wenn Dienste auf Computern so konfiguriert sind, dass sie im Kontext einer der in diesem Abschnitt beschriebenen privilegierten Gruppen ausgeführt werden, kann die Implementierung dieser Einstellungen zu Fehlern bei Diensten und Anwendungen führen. Daher sollten Sie, wie bei allen Empfehlungen in diesem Abschnitt, die Einstellungen gründlich auf Anwendbarkeit in Ihrer Umgebung testen.

      Screenshot: Konfigurationseinstellungen, die den Missbrauch von integrierten lokalen Administratorkonten und Domänenadministratorkonten blockiert.

Schrittweise Anweisungen zum Gewähren von Benutzerrechten für die Gruppe „Administratoren“

  1. Klicken Sie unter Server-Manager auf Tools und dann auf Gruppenrichtlinienverwaltung.

  2. Erweitern Sie in der Konsolenstruktur <Gesamtstruktur>\Domänen\<Domäne>, und dann Gruppenrichtlinienobjekte (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

  3. Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Gruppenrichtlinienobjekte und dann auf Neu.

    Screenshot: Menü, das angezeigt wird, wenn Sie mit der rechten Maustaste auf „Gruppenrichtlinienobjekte“ klicken.

  4. Geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt den <Namen des Gruppenrichtlinienobjekts> ein, und klicken Sie anschließend auf OK (wobei der <Name des Gruppenrichtlinienobjekts> der Name dieses Gruppenrichtlinienobjekts ist).

    Screenshot, der zeigt, wo Sie das Gruppenrichtlinienobjekt benennen, um Administratorgruppen zu schützen.

  5. Klicken Sie im Detailbereich mit der rechten Maustaste auf <Name des Gruppenrichtlinienobjekts> und dann auf Bearbeiten.

  6. Navigieren Sie zu Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien, und klicken Sie auf Zuweisen von Benutzerrechten.

    Screenshot, der zeigt wo Sie den Benutzerrechteadministrator zum Schützen von Administratorgruppen auswählen.

  7. Konfigurieren Sie die Benutzerrechte, damit Mitglieder der Gruppe „Administratoren“ über das Netzwerk auf Domänencontroller zugreifen können, indem Sie die folgenden Schritte ausführen:

    1. Doppelklicken Sie auf Zugriff vom Netzwerk auf diesen Computer, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

      Screenshot: Sicherstellen, dass die Benutzerrechte so konfiguriert wurden, dass Mitglieder der Gruppe „Administratoren“ über das Netzwerk auf Domänencontroller zugreifen können.

    4. Klicken Sie auf OK und dann erneut auf OK.

  8. Konfigurieren Sie die Benutzerrechte so, dass es Mitgliedern der Gruppe „Administratoren“ möglich ist, sich mithilfe der folgenden Schritte lokal anzumelden:

    1. Doppelklicken Sie auf Lokal anmelden zulassen, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot: Sicherstellen, dass die Benutzerrechte so konfiguriert wurden, dass Mitglieder der Gruppe „Administratoren“ sich lokal anmelden können.

    4. Klicken Sie auf OK und dann erneut auf OK.

  9. Konfigurieren Sie die Benutzerrechte so, dass es Mitgliedern der Gruppe „Administratoren“ möglich ist, sich mithilfe der folgenden Schritte über Remotedesktopdienste anzumelden:

    1. Doppelklicken Sie auf Anmelden über Remotedesktopdienste zulassen, und wählen Sie Diese Richtlinieneinstellungen definieren aus.

    2. Klicken Sie auf Benutzer oder Gruppe hinzufügen und dann auf Durchsuchen.

    3. Geben Sie Administratoren ein, klicken Sie auf Namen überprüfen und dann auf OK.

      Screenshot: Sicherstellen, dass die Benutzerrechte so konfiguriert wurden, dass Mitglieder der Gruppe „Administratoren“ sich über Remotedesktopdienste anmelden können.

    4. Klicken Sie auf OK und dann erneut auf OK.

  10. Um den Gruppenrichtlinienverwaltungs-Editor zu beenden, klicken Sie auf Datei und dann auf Beenden.

  11. Verknüpfen Sie in Gruppenrichtlinienverwaltung das Gruppenrichtlinienobjekt mit der Organisationseinheit für Domänencontroller, indem Sie die folgenden Schritte ausführen:

    1. Navigieren Sie zu <Gesamtstruktur>\Domänen\<Domäne> (wobei <Gesamtstruktur> der Name der Gesamtstruktur und <Domäne> der Name der Domäne ist, in der Sie die Gruppenrichtlinie festlegen möchten).

    2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit für Domänencontroller, und klicken Sie auf Vorhandenes Gruppenrichtlinienobjekt verknüpfen.

      Screenshot: Menüoption „Vorhandenes Gruppenrichtlinienobjekt verknüpfen“ beim Versuch, das Gruppenrichtlinienobjekt mit der Organisationseinheit für Domänencontroller zu verknüpfen.

    3. Wählen Sie das soeben erstellte Gruppenrichtlinienobjekt aus, und klicken Sie auf OK.

      Screenshot: Position zur Auswahl des soeben erstellten Gruppenrichtlinienobjekts beim Verknüpfen des Gruppenrichtlinienobjekts mit den Mitgliedsarbeitsstationen und dem Mitgliedsserver.

Überprüfungsschritte

Überprüfen der GPO-Einstellung „Zugriff vom Netzwerk auf diesen Computer verweigern“

Versuchen Sie, von einem beliebigen Mitgliedsserver oder einer Arbeitsstation aus, der bzw. die nicht von den GPO-Änderungen betroffen ist (z. B. von einem „Sprungbrettserver“ aus), über das Netzwerk auf einen Mitgliedsserver oder eine Arbeitsstation zuzugreifen, für den bzw. die die GPO-Änderungen gelten. Um die Einstellungen des Gruppenrichtlinienobjekts zu überprüfen, versuchen Sie, das Systemlaufwerk mit dem Befehl NET USE zuzuordnen.

  1. Melden Sie sich mit einem Konto an, das Mitglied der Gruppe „Administratoren“ ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suchen den Text Eingabeaufforderung ein, klicken Sie mit der rechten Maustaste auf Eingabeaufforderung und dann auf Als Administrator ausführen, um eine Eingabeaufforderung mit erhöhten Rechten zu öffnen.

  4. Wenn Sie aufgefordert werden, die Rechteerweiterung zu genehmigen, klicken Sie auf Ja.

    Screenshot: Dialogfeld „Benutzerkontensteuerung“.

  5. Geben Sie im Fenster Eingabeaufforderung den Befehl net use \\<Servername>\c$ ein, wobei <Servername> der Name des Mitgliedsservers oder der Arbeitsstation ist, auf den bzw. die Sie über das Netzwerk zugreifen möchten.

  6. Der folgende Screenshot enthält die Fehlermeldung, die angezeigt werden sollte.

    Screenshot der Fehlermeldung „Anmeldefehler“.

Überprüfen der Gruppenrichtlinieneinstellung „Anmelden als Batchauftrag verweigern“

Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

Erstellen einer Batchdatei

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Editor ein, und klicken Sie auf Editor.

  3. Geben Sie im Editordir c: ein.

  4. Klicken Sie auf Datei und dann auf Speichern unter.

  5. Geben Sie im Feld Dateiname den Namen <Dateiname>.bat ein (wobei <Dateiname> für den Namen der neuen Batchdatei steht).

Planen einer Aufgabe

  1. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  2. Geben Sie im Feld Suchen den Begriff Aufgabenplanung ein, und klicken Sie auf Aufgabenplanung.

    Hinweis

    Geben Sie auf Computern, auf denen Windows 8 ausgeführt wird, im Feld „Suchen“ den Text „Aufgaben planen“ ein, und klicken Sie auf „Aufgaben planen“.

  3. Klicken Sie auf Aktion und dann auf Aufgabe erstellen.

  4. Geben Sie im Dialogfeld Aufgabe erstellen den <Aufgabennamen> ein (wobei der <Aufgabenname> der Name der neuen Aufgabe ist).

  5. Klicken Sie auf die Registerkarte Aktionen und dann auf Neu.

  6. Wählen Sie im Feld Aktion die Option Programm starten aus.

  7. Klicken Sie im Feld Programm/Skript auf Durchsuchen, suchen Sie die im Abschnitt Batchdatei erstellen erstellte Batchdatei, wählen Sie sie aus, und klicken Sie anschließend auf Öffnen.

  8. Klicken Sie auf OK.

  9. Klicken Sie auf die Registerkarte Allgemein.

  10. Klicken Sie im Feld Sicherheitsoptionen auf Benutzer oder Gruppe ändern.

  11. Geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Administratoren“ ist, klicken Sie auf Namen überprüfen und dann auf OK.

  12. Wählen Sie Unabhängig von der Benutzeranmeldung ausführen und anschließend Kennwort nicht speichern aus. Die Aufgabe hat nur Zugriff auf lokale Computerressourcen.

  13. Klicken Sie auf OK.

  14. Es sollte ein Dialogfeld angezeigt werden, in dem die Benutzeranmeldeinformationen zum Ausführen der Aufgabe angefordert werden.

  15. Klicken Sie nach Eingabe des Kennworts auf OK.

  16. Ein Dialogfeld wie das folgende sollte angezeigt werden.

    Screenshot: Dialogfeld „Aufgabenplanung“.

Überprüfen der Gruppenrichtlinieneinstellung „Anmelden als Dienst verweigern“

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Wählen Sie im Feld Anmelden als die Option Dieses Konto aus.

  7. Klicken Sie auf Durchsuchen, geben Sie den Namen eines Kontos ein, das Mitglied der Gruppe „Administratoren“ ist, klicken Sie auf Namen überprüfen und dann auf OK.

  8. Geben Sie in den Feldern Kennwort und Kennwort bestätigen das Kennwort des ausgewählten Kontos ein, und klicken Sie auf OK.

  9. Klicken Sie drei weitere Male auf OK.

  10. Klicken Sie mit der rechten Maustaste auf Druckwarteschlange und dann auf Neu starten.

  11. Wenn der Dienst neu gestartet wird, sollte ein Dialogfeld wie das folgende angezeigt werden.

    Sichere Administratorgruppen

Zurücksetzen von Änderungen am Druckwarteschlangendienst

  1. Melden Sie sich lokal bei einem beliebigen Mitgliedsserver oder einer Arbeitsstation an, die von den GPO-Änderungen betroffen ist.

  2. Bewegen Sie den Mauszeiger in die obere rechte oder die untere rechte Ecke des Bildschirms. Wenn die Charms-Leiste angezeigt wird, klicken Sie auf Suchen.

  3. Geben Sie im Feld Suche den Begriff Dienste ein, und klicken Sie auf Dienste.

  4. Suchen Sie nach Druckwarteschlange, und doppelklicken Sie darauf.

  5. Klicken Sie auf die Registerkarte Anmelden.

  6. Klicken Sie im Feld Anmelden als auf Lokales Systemkonto und dann auf OK.