Heute habe ich es am eigenen Leib erfahren: Ich habe mich an meinem Laptop ausgesperrt. Während ich hier in München bei einer Schulung sitze, ändere ich die PIN für meinen Aladdin eToken und während der Mittagspause ziehe ich den Token ordnungsgemäß aus dem Laptop. Nach dem reichhaltigen Mahl versuche ich mich wieder anzumelden, gebe meine NEUE PIN ein und was sagt mir Windows? Ich wäre nicht der, der ich vorgebe zu sein - SUPER. Na gut, Windows neugestartet - danach wird es schon funktionieren. Aber weit gefehlt. Nach dem Neustart erhalte ich eine Fehlermeldung "Falscher Parameter" und Windows lässt mich nicht rein. Da wir ja auf dem Weg sind, bei uns im Unternehmen Security auch wirklich zu leben, ist für meinen Laptop die lokale Sicherheitsrichtlinie so konfiguriert (via GPO), dass eine Smartcard erforderlich ist. Auch die Anmeldung als lokaler Admin im Abgesicherten Modus und das Aufrufen der Lokalen Sicherheitsrichtlinie brachte die Ernüchterung: Ich kann zwar in die Richtlinie reinschauen, kann sie aber net ändern. Nun, nach einigem Nachdenken und "googeln" (ist das jetzt eigentlich ein offizielles deutsches Wort?) habe ich den entsprechenden Registry-Key gefunden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption
Setzt man diesen auf "0", so ist es auch wieder möglich, sich lokal anzumelden OHNE SmartCard. Beim nächsten Anmelden an der Domäne wird der Key natürlich wieder überschrieben.
DIESES VORGEHEN SOLLTE NUR IM ÄUSSERSTEN NOTFALL EINGESETZT WERDEN!!!