Jump to content
Sign in to follow this  
anonymous79

Verständnisproblem

Recommended Posts

Hallo zusammen,

 

hab ein kleines Verständnisproblem bezgl. dem Wiederherstellungskennwort auf einem DC.

 

Wenn ich einen neuen DC in mein Netzwerk einbinde, wird beim Heraufstufen die Eingabe eines Wiederherstellungskennwortes abgefragt.

 

Wenn ich hier nun ein anderes Kennwort wie auf den anderen DC´s eingebe, hat dies ja keinerlei Auswirkung, jedoch welches Wiederherstellungskennwort wird im Notfall abgefragt, das alte (alter DC) oder das neue (neuer DC) ? :confused:

 

Hoffentlich hab ich mich einigermaßen Verständlich ausgedrückt, aber ich steh gerade voll aufm Schlauch :)

 

Danke,

mark

Share this post


Link to post

Jeder DC hat sein eigenes Widerherstellungskennwort und dieses wird entsprechend dem DC abgefragt. Dieses wird auch Lokal und nicht im AD gespeichert.

Share this post


Link to post
Hi Dukel,

 

danke !

War immer der meinung das es im AD hinterlegt wird.

 

Das wäre schon fatal wenn das AD nicht mehr gebootet werden kann im Notfall ;)

 

 

Bye

Norbert

Share this post


Link to post

Servus,

 

unter Windows Server 2008 kann man nach der Installation eines Hotfix, das Kennwort für den Modus „Verzeichnisdienstwiederherstellung“ und einem Domänen-Benutzerkonto synchronisieren. Das Konto für den DSRM erhält dann das Kennwort vom angegebenen Domänen-Benutzerkonto.

 

Ab Windows Server 2008 R2 ist der Hotfix bereits integriert.

 

 

Siehe:

 

LDAP://Yusufs.Directory.Blog/ - Das Kennwort vom DSRM ab Windows Server 2008 synchronisieren

Edited by Daim
Link aktualisiert

Share this post


Link to post

Hi,

 

ich wollte mich grad freuen, dass MS mal eine halbwegs sinnvolle Funktion einbaut, aber irgendwie ist mir grad der Sinn dieser Funktion verlorengegangen. Ich verstehe das so, dass das Passwort eines anzugebenenden Dom-Users in das Konto für den Wiederherstellungsdienst gesynct wird. Aber ich muß das für jeden DC einzeln ausführen, bzw. per GPP schedulen, richtig? Wäre es jetzt nicht irgendwie sinnvoller gewesen, dass ich es nur einmal pro Domäne ausführen muß? Oder verpeile ich hier grad was?

 

Bye

Norbert

Share this post


Link to post

Huhuu,

 

Ich verstehe das so, dass das Passwort eines anzugebenenden Dom-Users in das Konto für den Wiederherstellungsdienst gesynct wird.

 

genau.

 

Aber ich muß das für jeden DC einzeln ausführen, bzw. per GPP schedulen, richtig?

 

Idealerweise ja, aber über die GPP kann man das für alle DCs konfigurieren. Du kannst also entweder für jeden DC ein eigenes Kennwort kreieren was die Sicherheit immens erhöht oder du konfigurierst eins für alle deine DCs mit den GPPs und achtest darauf, dass Kennwort des DSRM-Benutzers regelmäßig zu ändern.

 

Wäre es jetzt nicht irgendwie sinnvoller gewesen, dass ich es nur einmal pro Domäne ausführen muß?

 

Das kannst du ja über die GPP, vermindert jedoch die Sicherheit! Du möchtest also für alle DCs in der Domäne das gleiche Kennwort für das hochsensible DSRM Konto verwenden. Bei den Domänen-Benutzern achtest du darauf, das die Kennwörter der Kennwortrichtlinie entspricht und die Benutzer ihr Kennwort niemandem verraten, aber gerade für das DSRM-Konto wählst du ein Kennwort das auf allen DCs gleich lauten soll...

 

Vom Sicherheitsaspekt her: Vergebe jedem DC sein eigenes DSRM-Kennwort.

 

Oder verpeile ich hier grad was?

 

Ja, die Sicherheit. Du argumentierst nun vielleicht, dann ändere ich das Kennwort sehr oft über die GPPs. Trotzdem haben dann aber alle DCs immer das gleiche DSRM-Kennwort. Ich behaupte dann: Konfiguriere für jeden DC ein eigenes Kennwort UND ändere es ebenfalls oft auf jedem DC. Das kann man ja auch über die GPP lösen. Für jeden DC erstellt man dann eine eigene GPP mit einem eigenen Kennwort. Ob das je nach Größe der Umgebung und Anzahl der DCs praxistauglich ist, steht auf einem anderen Blatt. Sicherer ist es aber allemal. ;)

Share this post


Link to post

Das kannst du ja über die GPP, vermindert jedoch die Sicherheit! Du möchtest also für alle DCs in der Domäne das gleiche Kennwort für das hochsensible DSRM Konto verwenden. Bei den Domänen-Benutzern achtest du darauf, das die Kennwörter der Kennwortrichtlinie entspricht und die Benutzer ihr Kennwort niemandem verraten, aber gerade für das DSRM-Konto wählst du ein Kennwort das auf allen DCs gleich lauten soll...

 

Wenn ich es per GPP konfiguriere kann ich es "sicherheitstechnisch" auch gleich im Klartext an die Wand nageln (ok etwas übertrieben, aber von der Sicherheitsseite her betrachtet... ;))

 

Vom Sicherheitsaspekt her: Vergebe jedem DC sein eigenes DSRM-Kennwort.

 

Ja, wozu war also nochmal diese neue Funktion gut? Damit ich nicht das Kennwort am Prompt eintippen muß? Super Neuerung. Ja genau die Neuerungen die man sich schon immer gewünscht hat. ;)

 

 

Bye

Norbert

Share this post


Link to post
Wenn ich es per GPP konfiguriere kann ich es "sicherheitstechnisch" auch gleich im Klartext an die Wand nageln (ok etwas übertrieben, aber von der Sicherheitsseite her betrachtet... ;))

 

Nö warum? Per GPP verteilst du doch nicht das Kennwort, sondern lediglich den NTDSUTIL Befehl, mit dem der Kennwort-Sync von dem angegebenen Benutzerkonto durchgeführt wird. Das Kennwort selbst vergibt man ja wenn man das, ich nenne es mal DSRM-Benutzerkonto erstellt. Per GPP triggert man lediglich den Sync an.

 

Ja, wozu war also nochmal diese neue Funktion gut?

 

Um die Verwaltung des DSRM-Kennworts zu vereinfachen. Es geht um nichts anderes bei diesem Feature. ;)

 

Damit ich nicht das Kennwort am Prompt eintippen muß?

 

Der eine mag die Kommandozeile, der andere die GUI. ;) Im Übrigen ist das Feature, dass man nun das Kennwort eines Benutzerkontos in das Konto vom DSRM syncen kann und somit die Verwaltung des DSRM-Kennworts wie bereits erwähnt vereinfacht. Wie du dieses Feature nutzt, ob nun in der Kommandozeile oder per GPP bleibt jedem selbst überlassen. Aber Fakt ist für mich, es ist ein sinnvolles Feature.

 

Ja genau die Neuerungen die man sich schon immer gewünscht hat. ;)

 

Genau und wie du weißt, mahlen die Mühlen in Redmond langsamer als vielleicht in DE (ok ok, auch in AT und CH :p). ;)

Share this post


Link to post
Nö warum? Per GPP verteilst du doch nicht das Kennwort, sondern lediglich den NTDSUTIL Befehl, mit dem der Kennwort-Sync von dem angegebenen Benutzerkonto durchgeführt wird. Das Kennwort selbst vergibt man ja wenn man das, ich nenne es mal DSRM-Benutzerkonto erstellt. Per GPP triggert man lediglich den Sync an.

 

OK, da is was dran.

 

Um die Verwaltung des DSRM-Kennworts zu vereinfachen. Es geht um nichts anderes bei diesem Feature. ;)

 

Naja, aber darum so ein Gewese zu machen? Nee, da fallen mir mit ein wenig Nachdenken sicher interessantere Features ein, die man nachrüsten könnte. :) Nein ich denk jetzt nicht nach.

 

Kommandozeile oder per GPP bleibt jedem selbst überlassen. Aber Fakt ist für mich, es ist ein sinnvolles Feature.

 

Für mich eins, auf das man auch verzichten könnte, da die bisherige Methode nicht viel anderes funktionierte. ;) (zumindest der CLI Mode)

 

Bye

Norbert

Share this post


Link to post
OK, da is was dran.

 

Das meine ich aber auch. :cool:

 

Naja, aber darum so ein Gewese zu machen?

 

Das ist kein "Gewese", sondern wie du weißt "US Redmond-Style".

 

Nee, da fallen mir mit ein wenig Nachdenken sicher interessantere Features ein, die man nachrüsten könnte. :)

 

Klar, wem nicht. Aber wer hört schon auf uns Sunnyboys. :wink2:

 

Nein ich denk jetzt nicht nach.

 

Doch, tue das. Wer aufhört zu denken, der hört auf diese IT-Welt zu verbessern. ;)

 

Für mich eins, auf das man auch verzichten könnte, da die bisherige Methode nicht viel anderes funktionierte. ;) (zumindest der CLI Mode)

 

Für dich als erfahrenen ist dieses Feature sicherlich nicht gewaltig. Aber denke an denjenigen, der nicht so fit ist mit der Materie und sich Tag für Tag durch alle Facetten von IT-Problemen durchschlagen muss. Für den ist es einfacher das Kennwort eines Benutezrkontos zu ändern, als die schwarze Box aufzurufen.

Share this post


Link to post
Für dich als erfahrenen ist dieses Feature sicherlich nicht gewaltig. Aber denke an denjenigen, der nicht so fit ist mit der Materie und sich Tag für Tag durch alle Facetten von IT-Problemen durchschlagen muss. Für den ist es einfacher das Kennwort eines Benutezrkontos zu ändern, als die schwarze Box aufzurufen.

 

Irgendwie meine ich in allen Artikeln zu diesem Thema die ich heute gelesen habe einen Grundtenor erkannt zu haben:

Viele Leute wußten nicht, dass es ein DSRM Passwort gibt und oder wie dieses lautet und gesetzt wird.

Es glaubt hoffentlich niemand, dass das durch dieses Feature geändert wird? Dann hätte man schon eine vernünftige GUI bauen müssen. So wie das bspw. Lazarus mit der Tombstone Lifetime in null komma nix macht. Wieso muß man solche wichtigen und hilfreichen Features verstecken oder so umständlich nutzbar machen, dass man selbst als Profi manchmal verzweifelt ob der "bekloppten" Handhabung? ;) Aber ich schwof ab und geh jetzt ins Bett. :)

 

Bye bis morgen

Norbert

Share this post


Link to post
Viele Leute wußten nicht, dass es ein DSRM Passwort gibt und oder wie dieses lautet und gesetzt wird.

 

Genau, dass erleben wir doch immer wieder.

 

Es glaubt hoffentlich niemand, dass das durch dieses Feature geändert wird?

 

Nein, dass nicht. Aber zumindest erleichtert es das Zurücksetzen des Kennworts.

 

Dann hätte man schon eine vernünftige GUI bauen müssen.

 

Joah, aber diese Variante kommt dem doch schon nahe. ;)

 

So wie das bspw. Lazarus mit der Tombstone Lifetime in null komma nix macht.

 

Das stammt ja auch nicht aus Redmond. ;) Leben und leben lassen lautet die Devise aus Redmond. Ich könnte mir aber schon vorstellen, dass es in der Zukunft für den DSRM eine GUI geben wird.

 

Wieso muß man solche wichtigen und hilfreichen Features verstecken oder so umständlich nutzbar machen, dass man selbst als Profi manchmal verzweifelt ob der "bekloppten" Handhabung?

 

Tja, wer weiß schon warum und wiese die US Boys diese Denkweise haben. :cool:

Share this post


Link to post
Nein, dass nicht. Aber zumindest erleichtert es das Zurücksetzen des Kennworts.

 

Findest du? Naja.

 

Joah, aber diese Variante kommt dem doch schon nahe. ;)

 

Gut, dass du da nen Smiley hingemalt hast. ;)

 

 

Das stammt ja auch nicht aus Redmond. ;) Leben und leben lassen lautet die Devise aus Redmond. Ich könnte mir aber schon vorstellen, dass es in der Zukunft für den DSRM eine GUI geben wird.

 

Ja die Hoffnung stirbt zuletzt. Wahrscheinlich wird uns aber stattdessen eine Funktion präsentiert, die allerhöchstens 0,1% der MS Kunden überhaupt brauchen geschweige denn für notwendig erachten würden. :)

 

 

 

Tja, wer weiß schon warum und wiese die US Boys diese Denkweise haben. :cool:

 

Ich hab da so meine Vermutungen. :)

 

Bye

Norbert

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...