Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
Passwort des Domänen-Admin ändern - was tun zur vorbereitung?
Guten Tag zusammen!
Wir haben hier in der Firma eine Domäne laufen (kein Active Directories, ganz altmodisch NT4 Domäne) und das Paßwort des Domänen-Admins ist schon seit geraumer Zeit ein offenes Geheimnis.
Jetzt habe ich den Admin Job übernommen und würde diesen Zustand ganz gerne ändern.
Allerdings ist auch nur der eine Domänen-Admin angelegt (DOMÄNE\Administrator) und damit sind auch allerhand Dienste am laufen. Exchange Server, Virenschutz usw. usf.
Jetzt also der Knackpunkt: wenn ich nun das Paßwort des Administratorpaßwortes ändere - laufen diese Dienste dann noch oder sterben die alle mangels korrekten Paßwortes ab?
Und wenn das der Fall ist: kann man für diese Dienste das Paßwort ändern? Auch wenn´s länger dauert: lieber einmal richtig aber dann für die Zukunft ein paar Größenordnungen sicherer...
Vielen Dank vorab für alle Informationen, das würde mir echt weiterhelfen!
mich wundert, dass noch niemand geantwortet hat.
denn dies ist sicher ein grundsätzliches Problem bei der Datensicherheit: was nützt es, wenn der arme User sein Kennwort alle 2 Wochen ändern muss, aber das des admins steht auf den standardvorgaben und wird nie geändert (das war bei unserer AS400 über viele Jahre so.}
Diese Umstellung sollte genau geplant werden!
Jeden Server und jeden Dienst checken!
Wir machen das so:
alle dienste laufen unter einem LOKALEN Admin (den man natürlich standardisieren kann), der aber im Netz keine Rechte hat (weil kein 'Domänen Benutzer'). Er wird über autologon angemeldet und es gibt eigentlich niemanden, der Benutzer und kennwort sieht - ausser den dom-admins.
Ich bin gerade nicht ganz sicher, ob das bei allen servern geht, aber bei den meisten schon.
Und die Domänen-Admins müssen ihr kennwort alle 4 Wochen ändern.
mich wundert, dass noch niemand geantwortet hat.
denn dies ist sicher ein grundsätzliches Problem bei der Datensicherheit: was nützt es, wenn der arme User sein Kennwort alle 2 Wochen ändern muss, aber das des admins steht auf den standardvorgaben und wird nie geändert (das war bei unserer AS400 über viele Jahre so.}
Joah, das sehe ich nämlich genauso. Dummerweise wurde eine strikte Trennung bei Aufbau des Netzes versäumt und jetzt darf ich versuchen rauszufinden wie ich das am elegantesten über die Bühne kriege
Original geschrieben von Grutsch Diese Umstellung sollte genau geplant werden!
Jeden Server und jeden Dienst checken!
Und genau da ist ja der Knackpunkt - was sollte ich wohl am schlauesten tun?
Was ich mir vorgestellt habe ist:
Den Domänen-Admin (DOMÄNE\Administrator) mit einem neuen Paßwort versehen welches tatsächlich nur an meinen Vertreter und mich rausgegeben wird und dann auf ´nem Zettel in den Safe kommt.
Für Verwaltungsdienste in der Domäne einen weiteren Administrator anlegen (bspw. DOMÄNE\Admin) und dort das Paßwort alle X Wochen zu ändern.
Dazu brauch ich aber dringend Tips, da ich keinen blassen Schimmer habe ob ich das Paßwort des bisherigen Domänen-Admins einfach ändern kann.
Daher nochmal: Hat das schonmal jemand gemacht, worauf muß ich bei einer Paßwortänderung achten?
erstmal: dass hier keiner bisher antworten wollte liegt wohl in der heiklen situation, die du hier ansprichst - und da postet man im normalfall nicht wild drauf los. es gibt auch schon beispiele in den vielen threads hier (z.b. vom jahresanfang), die die länger im board weilenden eben vorsichtig werden lassen mit antworten zum themenbereich "änderungen an der administrativen umgebung". aber nun sei's begonnen.
wenn du sowieso alles gründlich anpacken willst, dann solltest du diese unsitte, das adminkonto für dienste und tasks zu verwenden, gleich mit abstellen. in deinem fall ist, da das konto ein offenes buch für quasi alle ist, um so dringender zu raten, eigene konten oder gruppen für dienste, datenbanken backupsoftware etc. einzurichten. der admin gehört einfach in gar keine andere funktion als die des über alles wachenden!!!
nimm dir als veranschaulichung den bundespräsidenten: er mischt sich nicht in die produktive, aber keine entscheidung geht im ernstfall über die seine. so hat sich auch dein neues adminkonto zu verhalten.
dein ansatz ist ganz in ordnung, wobei, wie schon von grutsch angesprochen, du eine heidenfreude haben wirst, zu prüfen, welche dienste unter welchen accounts laufen und in welchen gruppen sich der admin berechtigt bzw. aus bequemlichkeit unberechtigt breit gemacht hat. da könntest du eventuell hilfe im nt4 reskit oder in den zero administration tools finden, eventuell (weiss das nicht auswendig) gibt es hier werkzeuge, um dir einiges zu erleichtern. da ihr ja scheinbar eine langjährige struktur habt, solltet ihr zu den glücklichen besitzern des zero admin kits gehören - heute bekommst du es gar nicht mehr/kaum noch.
du solltest auch daran denken, dass eventuelle trusted domains exisitieren!
Original geschrieben von real_tarantoga dein ansatz ist ganz in ordnung, wobei, wie schon von grutsch angesprochen, du eine heidenfreude haben wirst, zu prüfen, welche dienste unter welchen accounts laufen und in welchen gruppen sich der admin berechtigt bzw. aus bequemlichkeit unberechtigt breit gemacht hat. da könntest du eventuell hilfe im nt4 reskit oder in den zero administration tools finden, eventuell (weiss das nicht auswendig) gibt es hier werkzeuge, um dir einiges zu erleichtern. da ihr ja scheinbar eine langjährige struktur habt, solltet ihr zu den glücklichen besitzern des zero admin kits gehören - heute bekommst du es gar nicht mehr/kaum noch.
du solltest auch daran denken, dass eventuelle trusted domains exisitieren!
Oookay... daß das kein Pappenstiel wird hab ich ja schon befürchtet, aber das sind auch nicht gerade ermutigende Neuigkeiten. An dieser Stelle nochmal herzlichen Dank an meinen Vorgänger.
Ich möchte kurz noch dazu anmerken, daß ich in die Position des Administrators mehr oder weniger reingerutscht bin, also keine Ausbildung in der Hinsicht habe. Alles selbst beigebracht, learning by doing - ihr wißt schon
Daher bitte ich bereits vorab schonmal um Verzeihung für allzu ****e Fragen
Bevor ich nun anfange eine Aufstellung der Dienste die den Domänen-Admin als Anmeldung benutzen zu beginnen: wie kann man bei diesen Diensten die Anmeldung nachträglich verändern?
dort bei allen diensten, die gestartet sind, auf die schaltfläche startart klicken.
nun kann man sehen, ob diese mit dem systemkonto laufen oder ob ein spezielles konto existiert.
in abweichung zum vorredner betreibe ich die dienste mit einem speziellen nutzerkonto, bei dem ich allerdings nach dem motto "set it and forget it" verfahre. (das kennwort bleibt so, da ungefähr 35 - 40 stellen lang und mit allen schikanen ausgestattet) ist natürlich geschmacks- bzw. faulheitsfrage
Original geschrieben von Geeroy abweichung zum vorredner betreibe ich die dienste mit einem speziellen nutzerkonto
da sind wir gar nicht verschiedener meinung, denn ich meinte es genau so, wie ich es schrieb: unsitte, das adminkonto! zu verwenden - anderer user ist genau das, was ich meine!
Hi Schnaplo,
Wenn du schon an die Passwörter rangehst, dann würd ich gleich die Komplexitätsanforderungen mit erhöhen. Hier findest du eine Step by Step Anleitung, wie du das unter NT4.0 machen kannst: http://support.microsoft.com/default...en-us%3b161990
Cu
blub
Passwort des Domänen-Admin ändern - was tun zur vorbereitung?
