Jump to content

Verständnisproblem


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

hab ein kleines Verständnisproblem bezgl. dem Wiederherstellungskennwort auf einem DC.

 

Wenn ich einen neuen DC in mein Netzwerk einbinde, wird beim Heraufstufen die Eingabe eines Wiederherstellungskennwortes abgefragt.

 

Wenn ich hier nun ein anderes Kennwort wie auf den anderen DC´s eingebe, hat dies ja keinerlei Auswirkung, jedoch welches Wiederherstellungskennwort wird im Notfall abgefragt, das alte (alter DC) oder das neue (neuer DC) ? :confused:

 

Hoffentlich hab ich mich einigermaßen Verständlich ausgedrückt, aber ich steh gerade voll aufm Schlauch :)

 

Danke,

mark

Link zu diesem Kommentar

Servus,

 

unter Windows Server 2008 kann man nach der Installation eines Hotfix, das Kennwort für den Modus „Verzeichnisdienstwiederherstellung“ und einem Domänen-Benutzerkonto synchronisieren. Das Konto für den DSRM erhält dann das Kennwort vom angegebenen Domänen-Benutzerkonto.

 

Ab Windows Server 2008 R2 ist der Hotfix bereits integriert.

 

 

Siehe:

 

LDAP://Yusufs.Directory.Blog/ - Das Kennwort vom DSRM ab Windows Server 2008 synchronisieren

bearbeitet von Daim
Link aktualisiert
Link zu diesem Kommentar

Hi,

 

ich wollte mich grad freuen, dass MS mal eine halbwegs sinnvolle Funktion einbaut, aber irgendwie ist mir grad der Sinn dieser Funktion verlorengegangen. Ich verstehe das so, dass das Passwort eines anzugebenenden Dom-Users in das Konto für den Wiederherstellungsdienst gesynct wird. Aber ich muß das für jeden DC einzeln ausführen, bzw. per GPP schedulen, richtig? Wäre es jetzt nicht irgendwie sinnvoller gewesen, dass ich es nur einmal pro Domäne ausführen muß? Oder verpeile ich hier grad was?

 

Bye

Norbert

Link zu diesem Kommentar

Huhuu,

 

Ich verstehe das so, dass das Passwort eines anzugebenenden Dom-Users in das Konto für den Wiederherstellungsdienst gesynct wird.

 

genau.

 

Aber ich muß das für jeden DC einzeln ausführen, bzw. per GPP schedulen, richtig?

 

Idealerweise ja, aber über die GPP kann man das für alle DCs konfigurieren. Du kannst also entweder für jeden DC ein eigenes Kennwort kreieren was die Sicherheit immens erhöht oder du konfigurierst eins für alle deine DCs mit den GPPs und achtest darauf, dass Kennwort des DSRM-Benutzers regelmäßig zu ändern.

 

Wäre es jetzt nicht irgendwie sinnvoller gewesen, dass ich es nur einmal pro Domäne ausführen muß?

 

Das kannst du ja über die GPP, vermindert jedoch die Sicherheit! Du möchtest also für alle DCs in der Domäne das gleiche Kennwort für das hochsensible DSRM Konto verwenden. Bei den Domänen-Benutzern achtest du darauf, das die Kennwörter der Kennwortrichtlinie entspricht und die Benutzer ihr Kennwort niemandem verraten, aber gerade für das DSRM-Konto wählst du ein Kennwort das auf allen DCs gleich lauten soll...

 

Vom Sicherheitsaspekt her: Vergebe jedem DC sein eigenes DSRM-Kennwort.

 

Oder verpeile ich hier grad was?

 

Ja, die Sicherheit. Du argumentierst nun vielleicht, dann ändere ich das Kennwort sehr oft über die GPPs. Trotzdem haben dann aber alle DCs immer das gleiche DSRM-Kennwort. Ich behaupte dann: Konfiguriere für jeden DC ein eigenes Kennwort UND ändere es ebenfalls oft auf jedem DC. Das kann man ja auch über die GPP lösen. Für jeden DC erstellt man dann eine eigene GPP mit einem eigenen Kennwort. Ob das je nach Größe der Umgebung und Anzahl der DCs praxistauglich ist, steht auf einem anderen Blatt. Sicherer ist es aber allemal. ;)

Link zu diesem Kommentar

Das kannst du ja über die GPP, vermindert jedoch die Sicherheit! Du möchtest also für alle DCs in der Domäne das gleiche Kennwort für das hochsensible DSRM Konto verwenden. Bei den Domänen-Benutzern achtest du darauf, das die Kennwörter der Kennwortrichtlinie entspricht und die Benutzer ihr Kennwort niemandem verraten, aber gerade für das DSRM-Konto wählst du ein Kennwort das auf allen DCs gleich lauten soll...

 

Wenn ich es per GPP konfiguriere kann ich es "sicherheitstechnisch" auch gleich im Klartext an die Wand nageln (ok etwas übertrieben, aber von der Sicherheitsseite her betrachtet... ;))

 

Vom Sicherheitsaspekt her: Vergebe jedem DC sein eigenes DSRM-Kennwort.

 

Ja, wozu war also nochmal diese neue Funktion gut? Damit ich nicht das Kennwort am Prompt eintippen muß? Super Neuerung. Ja genau die Neuerungen die man sich schon immer gewünscht hat. ;)

 

 

Bye

Norbert

Link zu diesem Kommentar
Wenn ich es per GPP konfiguriere kann ich es "sicherheitstechnisch" auch gleich im Klartext an die Wand nageln (ok etwas übertrieben, aber von der Sicherheitsseite her betrachtet... ;))

 

Nö warum? Per GPP verteilst du doch nicht das Kennwort, sondern lediglich den NTDSUTIL Befehl, mit dem der Kennwort-Sync von dem angegebenen Benutzerkonto durchgeführt wird. Das Kennwort selbst vergibt man ja wenn man das, ich nenne es mal DSRM-Benutzerkonto erstellt. Per GPP triggert man lediglich den Sync an.

 

Ja, wozu war also nochmal diese neue Funktion gut?

 

Um die Verwaltung des DSRM-Kennworts zu vereinfachen. Es geht um nichts anderes bei diesem Feature. ;)

 

Damit ich nicht das Kennwort am Prompt eintippen muß?

 

Der eine mag die Kommandozeile, der andere die GUI. ;) Im Übrigen ist das Feature, dass man nun das Kennwort eines Benutzerkontos in das Konto vom DSRM syncen kann und somit die Verwaltung des DSRM-Kennworts wie bereits erwähnt vereinfacht. Wie du dieses Feature nutzt, ob nun in der Kommandozeile oder per GPP bleibt jedem selbst überlassen. Aber Fakt ist für mich, es ist ein sinnvolles Feature.

 

Ja genau die Neuerungen die man sich schon immer gewünscht hat. ;)

 

Genau und wie du weißt, mahlen die Mühlen in Redmond langsamer als vielleicht in DE (ok ok, auch in AT und CH :p). ;)

Link zu diesem Kommentar
Nö warum? Per GPP verteilst du doch nicht das Kennwort, sondern lediglich den NTDSUTIL Befehl, mit dem der Kennwort-Sync von dem angegebenen Benutzerkonto durchgeführt wird. Das Kennwort selbst vergibt man ja wenn man das, ich nenne es mal DSRM-Benutzerkonto erstellt. Per GPP triggert man lediglich den Sync an.

 

OK, da is was dran.

 

Um die Verwaltung des DSRM-Kennworts zu vereinfachen. Es geht um nichts anderes bei diesem Feature. ;)

 

Naja, aber darum so ein Gewese zu machen? Nee, da fallen mir mit ein wenig Nachdenken sicher interessantere Features ein, die man nachrüsten könnte. :) Nein ich denk jetzt nicht nach.

 

Kommandozeile oder per GPP bleibt jedem selbst überlassen. Aber Fakt ist für mich, es ist ein sinnvolles Feature.

 

Für mich eins, auf das man auch verzichten könnte, da die bisherige Methode nicht viel anderes funktionierte. ;) (zumindest der CLI Mode)

 

Bye

Norbert

Link zu diesem Kommentar
OK, da is was dran.

 

Das meine ich aber auch. :cool:

 

Naja, aber darum so ein Gewese zu machen?

 

Das ist kein "Gewese", sondern wie du weißt "US Redmond-Style".

 

Nee, da fallen mir mit ein wenig Nachdenken sicher interessantere Features ein, die man nachrüsten könnte. :)

 

Klar, wem nicht. Aber wer hört schon auf uns Sunnyboys. :wink2:

 

Nein ich denk jetzt nicht nach.

 

Doch, tue das. Wer aufhört zu denken, der hört auf diese IT-Welt zu verbessern. ;)

 

Für mich eins, auf das man auch verzichten könnte, da die bisherige Methode nicht viel anderes funktionierte. ;) (zumindest der CLI Mode)

 

Für dich als erfahrenen ist dieses Feature sicherlich nicht gewaltig. Aber denke an denjenigen, der nicht so fit ist mit der Materie und sich Tag für Tag durch alle Facetten von IT-Problemen durchschlagen muss. Für den ist es einfacher das Kennwort eines Benutezrkontos zu ändern, als die schwarze Box aufzurufen.

Link zu diesem Kommentar
Für dich als erfahrenen ist dieses Feature sicherlich nicht gewaltig. Aber denke an denjenigen, der nicht so fit ist mit der Materie und sich Tag für Tag durch alle Facetten von IT-Problemen durchschlagen muss. Für den ist es einfacher das Kennwort eines Benutezrkontos zu ändern, als die schwarze Box aufzurufen.

 

Irgendwie meine ich in allen Artikeln zu diesem Thema die ich heute gelesen habe einen Grundtenor erkannt zu haben:

Viele Leute wußten nicht, dass es ein DSRM Passwort gibt und oder wie dieses lautet und gesetzt wird.

Es glaubt hoffentlich niemand, dass das durch dieses Feature geändert wird? Dann hätte man schon eine vernünftige GUI bauen müssen. So wie das bspw. Lazarus mit der Tombstone Lifetime in null komma nix macht. Wieso muß man solche wichtigen und hilfreichen Features verstecken oder so umständlich nutzbar machen, dass man selbst als Profi manchmal verzweifelt ob der "bekloppten" Handhabung? ;) Aber ich schwof ab und geh jetzt ins Bett. :)

 

Bye bis morgen

Norbert

Link zu diesem Kommentar
Viele Leute wußten nicht, dass es ein DSRM Passwort gibt und oder wie dieses lautet und gesetzt wird.

 

Genau, dass erleben wir doch immer wieder.

 

Es glaubt hoffentlich niemand, dass das durch dieses Feature geändert wird?

 

Nein, dass nicht. Aber zumindest erleichtert es das Zurücksetzen des Kennworts.

 

Dann hätte man schon eine vernünftige GUI bauen müssen.

 

Joah, aber diese Variante kommt dem doch schon nahe. ;)

 

So wie das bspw. Lazarus mit der Tombstone Lifetime in null komma nix macht.

 

Das stammt ja auch nicht aus Redmond. ;) Leben und leben lassen lautet die Devise aus Redmond. Ich könnte mir aber schon vorstellen, dass es in der Zukunft für den DSRM eine GUI geben wird.

 

Wieso muß man solche wichtigen und hilfreichen Features verstecken oder so umständlich nutzbar machen, dass man selbst als Profi manchmal verzweifelt ob der "bekloppten" Handhabung?

 

Tja, wer weiß schon warum und wiese die US Boys diese Denkweise haben. :cool:

Link zu diesem Kommentar
Nein, dass nicht. Aber zumindest erleichtert es das Zurücksetzen des Kennworts.

 

Findest du? Naja.

 

Joah, aber diese Variante kommt dem doch schon nahe. ;)

 

Gut, dass du da nen Smiley hingemalt hast. ;)

 

 

Das stammt ja auch nicht aus Redmond. ;) Leben und leben lassen lautet die Devise aus Redmond. Ich könnte mir aber schon vorstellen, dass es in der Zukunft für den DSRM eine GUI geben wird.

 

Ja die Hoffnung stirbt zuletzt. Wahrscheinlich wird uns aber stattdessen eine Funktion präsentiert, die allerhöchstens 0,1% der MS Kunden überhaupt brauchen geschweige denn für notwendig erachten würden. :)

 

 

 

Tja, wer weiß schon warum und wiese die US Boys diese Denkweise haben. :cool:

 

Ich hab da so meine Vermutungen. :)

 

Bye

Norbert

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...