mecci 10 Posted May 4, 2009 Report Posted May 4, 2009 Hallo zusammen, folgender Sachverhalt: es soll auf einem Windows 2003 Server das Admin kennwort geändert werden. Nun laufen in der Domäne diverse programme, welchen man bestimmt das neue kennwort mitteilen muss, es wäre da z.B.: Sage Datev Backup Exec Scarabaeus CCS 2000 Genesis World Oracle SQL Enterprise P-Zeit Citrix Tisoware Ein Teil der Software ist mir ja namentlich bekannt, darum glaube ich auch zu wissen, dass ich alle Dienste, die beim Systemstart vom Administrator gestartet werden angepasst werden müssen. Richtig? Wars das dann oder kommt da noch mehr? Danke für eure Mühen, Gruss Dirk Quote
LjMatrix 10 Posted May 4, 2009 Report Posted May 4, 2009 Hallo Mecci! Das gleiche Problem hatte ich letztes WE auch. Folgende Lösung kam bei mir zum Einsatz: --> einen User angelegt (mit Domänen-Admin Rechten) z.bsp TechAdmin mit einem geheimen Kennwort --> diesem User auf allen Servern das lokale Anmelden verweigert --> Alle Dienste auf den ganzen Servern ( die als Administrator gestartet werden) auf diesen User gebunden --> Die geplanten Tasks auch auf diesen User gebunden (ausser einige die ersichtlich sein müssen was geschieht im Administrator) --> Domänen-Admin Kennwort geändert und auch auf jeden einzelnen Servern das lokale Admin Kennwort geändert und teilweise auch sogar deaktiviert. Bis jetzt läuft eigentlich alles ziemlich gut. lg Matrix Quote
Lian 2,524 Posted May 4, 2009 Report Posted May 4, 2009 Hallo, Ihr solltet dringend über die Einführung/Nutzung von Service Accounts (Dienstekonten) nachdenken ;) Info: Services and Service Accounts Security Planning Guide Download: http://www.microsoft.com/downloads/details.aspx?FamilyId=F4069A30-01D7-43E8-8B30-3799DB2D9C2F&displaylang=en Quote
NilsK 2,972 Posted May 4, 2009 Report Posted May 4, 2009 Moin, Lians Hinweis ist absolut richtig. Erstens haben keine Dienste mit "dem" Administrator-Konto zu laufen. Zweitens sollten verschiedene Dienste auch verschiedene Konten haben. Und drittens kenne ich keinen Dienst, der Domänen-Admin-Rechte braucht. Die meisten modernen Dienste brauchen nicht mal lokale Adminrechte. Und ansonsten: faq-o-matic.net Dienst- und Task-Konten identifizieren Gruß, Nils Quote
mecci 10 Posted May 5, 2009 Author Report Posted May 5, 2009 Ich danke euch dreien, werde die Service Accs auf jeden Fall mal mit einfliessen lassen, machen wirklich Sinn. Gruss Dirk Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.