Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
auf jedem unserer Clients gibt es ja zwei Administratoren-Konten:
Einmal den lokalen Administrator --> dessen Kennwort lässt sich durch ein Skript oder das manuelle Verbinden mittels Computerverwaltung ändern.
Dann den Administrator der Domäne: DOMAENE\Administrator --> dieses Kennwort lässt sich zwar im AD ändern, es synchronisiert aber natürlich nicht mit den zwischengespeicherten Anmeldeinformationen auf dem Client.
Ändere ich also mein Domänen-Admin-Kennwort im AD, ist in Wahrheit auf den Clients (hier: vor allem Notebooks !) noch das alte zwischengespeichert.
warum möchtest Du das lokale Domänen-Admin Kennwort / den Cache aktualisieren? Sind die Clients längere Zeit nicht im Domänennetzwerk, so daß sich die lokale Anmeldung von einem (Domänen-) Administrator verzögert?
Oder geht es um einen Sicherheitsvorfall, so daß lokal die Caches geleert werden müssen?
Cached Credentials werden bei der nächsten erfolgreichen Anmeldung aktualisiert.
Allgemein sollte man es vermeiden, sich mit zu hohen Rechten an einem Client anzumelden. Ein lokaler Administrator kann mit den passenden Tools die Cached Credentials auslesen und so schnell zum Domänen-Admin werden ...
Cached Credentials werden bei der nächsten erfolgreichen Anmeldung aktualisiert.
Allgemein sollte man es vermeiden, sich mit zu hohen Rechten an einem Client anzumelden. Ein lokaler Administrator kann mit den passenden Tools die Cached Credentials auslesen und so schnell zum Domänen-Admin werden ...
Gruß, Nils
Man muss ja noch nicht einmal wirklich lokaler Administrator eines PCs sein. Das ist ja das gefährliche. Sobald du physikalischen Zugang zu einer Maschine kriegst, kann man sich auch Adminrechte mit Tools verschaffen.
Von daher ist der Tipp mit dem vorsichtigen Umgang von Cached Credentials sehr ratsam.
wer meldet sich denn mit zu hohen Rechten an? :-) Die Nutzer sind "Domänen-Benutzer". Aber jeder hat doch einen Domänen-Administrator-Account auf der Maschine, nicht?
Dessen Kennwort im Cache aktualisiert sich erst nach der nächsten erfolgreichen Anmeldung, bei der der DC verfügbar ist (oder "Anmelden als" bei aktiver VPN-Verbindung).
Das Kennwort befindet sich aber nur im Cache wenn sich ein Domänenadmin jemals von der Maschine aus angemeldet hat. Und auf einem x beliebigen Client gibt es keinen Grund sich als Domänenadmin anzumelden.
Für das normale arbeiten in der Domäne hat mein Domänenbenutzerkonto über Delegierung das Recht Benutzer, Computer und Gruppen zu verwalten. Damit wird 90% der täglichen Aufgaben erschlagen. Computer werden auch mit meinem normalen Benutzerkonto in die Domäne gehoben. Dafür benötigt man keine Domänen Administratorrechte.
Was treibst Du denn auf den Rechnern das Du den großen Bahnhof benötigst?
danke für die Antworten. Es macht doch immer Spaß, sich gegenseitig auszutauschen.
Ich hoffe, wir haben nicht etwas aneinander vorbeigesprochen. Ich nenne mal "die Fakten" :-) :
1. Alle Notebooks/Desktops befinden sich in der Domäne (Domänenfunktionsebene: Windows Server 2003);
2. wir setzen ausschließlich XP Prof. ein;
3. bei fast allen Geräten handelt es sich um Notebooks, die sich an entfernten Standorten oder unterwegs befinden;
4. ICH arbeite in meinem Büro immer mit einem normalen Benutzeraccunt. Benötige ich administrative Rechte, verbinde ich mich z.B. per RDP auf unseren DC. Dort arbeite ich als DOMÄNE\Administrator.
5. Alle User arbeiten als normale Benutzer.
6. Auf unseren Clients gibt es das Benutzerkonto DOMÄNE\Administrator. Dieses verwende ich nur, wenn ich auf den Rechnern administrative Arbeiten durchführen muss (was aber - wenn man sein Netzwerk eben entsprechend aufgebaut /gepflegt hat - nur sehr selten vorkommt). Ändere ich nun das Passwort für den Domänen-Admin im AD, so ist dies den Notebooks erstmal egal - sie cachen ja das neue Passwort erst wieder, wenn eine Anmeldung von einem Client aus erfolgt.
Was meint ihr zur Konstellation? Würdet ihr auf den Clients die Profile des Domänen-Admins löschen und stattdessen mit lokalen Admin-Konten arbeiten?
Um administrative arbeiten an einem Client durchzuführen, arbeiten wir maximal mit dem lokalen Adminkonto. Für mich ist Grund ersichtlich, dass man ein Domänenadminkonto dafür benötigt. Ich lasse mich aber gerne mit stichhaltigen Argumenten von dem Gegenteil überzeugen.
