Domänen-Admin-Passwort auf Clients ändern?

[robotto7831a 10]

Wir administrieren egal ob Client oder Server entweder mit dem lokalen Administrator oder halt mit Domänenbenutzerkonten denen die entsprechenden Rechte geben wurden. Also einen ganz normalen AD Benutzer der wie NilsK es bereits erwähnt hat in der lokalen Admingruppe eingetragen ist.

 

Frank

 

PS: Als Server meine ich jetzt keinen DC.

[Canni 11]

Das werde ich hier nun auch so umstellen. Jedoch, wie gesagt, die lokale Administration ist ja nur sehr selten notwendig.

 

Wie verfahrt ihr mit dem Problem des Passwortwechsels - ignoriert ihr die Problematik der "cached credentials"? Ihr meldet Euch mit "SupporterABC" am Notebook XY an. Euer Kennwort für SupporterABC habt ihr an einer anderen Workstation gewechselt - damit es aber auf XY aktualisiert wird, müsstet ihr Euch dort bei bestehender Domänen-Verbindung (oder über "Ausführen als") anmelden. Wie handhabt ihr dies?

[robotto7831a 10]

Wenn ich mich nach jedem Passwortwechsel an jedem Rechner wieder anmelden muss wo ich mal angemeldet war, dann hätte ich aber was zu tun.

 

Frank

[Canni 11]

Ich weiß auch, dass das in der Praxis nicht realisiert werden kann. Aber nachdenklich machen sollte es einem schon, dass XP die Anmeldeinformationen nicht synchronisiert. Somit ist ein geändertes Passwort eben doch nicht geändert, wenn man sich an einem Notebook ohne Domänen-Verbindung neu anmeldet.

 

Wie arbeitet ihr auf euren Servern, sprich mit welchen Rechten ?

[robotto7831a 10]

Am Server habe ich, wenn ich mich lokal anmelde, Admin Rechte. Wenn ich mich lokal anmelde, dann mache ich das ja um irgenwelche administrative Tätigkeiten auszuführen. Sonst gibt es ja keinen Grund für eine lokale Anmeldung bzw. über RDP.

 

Frank

[Canni 11]

Richtig, ist nachvollziehbar. Du sprichst von "lokalen Admin-Rechten". Meinst Du damit einen Domänen-Account (also im Active Directory eingerichtet) oder einen lokalen Account (also in der Computerverwaltung eingerichtet)?

[robotto7831a 10]

Sowohl als auch. Kommt drauf an welche Maschine.

 

Frank

[Canni 11]

Danke. Ich glaube, hier legen viele Unternehmen einen zu geringen Fokus drauf. Ich kenne einige - auch große und bekannte Unternehmen - die nicht einmal ein AD haben, bei denen das Administrator-Kennwort jedem bekannt ist, der im Support tätig ist - und das auch nach dessen Austritt. Eine ähnliche Unsitte ist es ja z.B. auch, dass man Diensten häufig den Domänen-Admin-Zugang gibt - bei mir ist jeder Dienst (Ausnahme ist ein einziger!) "Benutzer" und verfügt über ein eigenes Userkonto. Ist auch viel übersichtlicher so.

[olc 18]

Hi Canni,

 

und was möchtest Du damit sagen? ;)

 

Hoffentlich nicht, daß das richtig so ist. Denn solche Firmen sind dann meist auch diejenigen Firmen, die am lautesten schreien, wenn Sie einen eklatanten Sicherheitsvorfall hatten oder Ihre Domäne geschrottet ist.

 

Von daher ist das "Argument" eher fragwürdig.

 

Ich denke, es ist doch alles zu dem Thema gesagt oder? Und genügend Hinweise, wie man es besser macht, kamen auch noch von den verschiedenen Kollegen. Den Rest muß der TO wohl oder übel selbst entscheiden und man kann nur hoffen, daß auch sicherheitstechnischer Sicht die richtigen Entscheidungen getroffen werden.

 

Viele Grüße

olc