Jump to content

Deaktivierung Admin-Konto


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo,

 

in unserem Unternehmen sollen in Kürze auf allen Maschinen per Policy die lokalen "Administrator" Konten deaktiviert werden. Aus Gründen der "IT-Sicherheit".

Unsere Admins sind natürlich in einer Gruppe mit lokalen Adminrechten drin.

 

1. Ist diese Aktion sinnvoll?

2. Kann es zu Problemen kommen? Es soll per CD/USB ein lokaler Adminzugriff ermöglicht werden falls Domänenanmeldung nicht möglich. Klingt umständlich...

 

Maschinenanzahl oberer 4-stelliger Bereich, 2K3 Domänenfunktionslevel, WinXP und Win7 Clients.

 

Hab die Info gerade erst bekommen und wäre über ein paar Meinungen hocherfreut.

 

Gruß

Nubian

Link to comment
1. Ist diese Aktion sinnvoll?

 

Ja, aber sie kommt reichlich spät. Wir schreiben doch schon Ende 2012. ;) Grundsätzlich sollte gleichzeitig per Richtlinieneinstellung (GPP) auch dafür gesorgt werden, dass auf den Clients keine "wilden" Konten mit Administratorrechten mehr existieren, d.h. alle Benutzer und Gruppen aus der lokalen Administratorengruppe entfernt werden, die darin nichts zu suchen haben.

 

2. Kann es zu Problemen kommen?

 

Hängt von den Anwendungen ab. Aber wenn man jetzt Ende 2012 noch Anmeldungen einsetzt, die lokale Adminrechte benötigen, dann ist dies das Problem.

 

Es soll per CD/USB ein lokaler Adminzugriff ermöglicht werden falls Domänenanmeldung nicht möglich.

 

Und warum soll das vorkommen? Und ist es in Eurem Betrieb tatsächlich möglich, einfach eine CD einzuschieben oder einen USB-Stift einzustecken und so die Kontrolle über die Maschine zu übernehmen?

Link to comment

@Norbert

 

du meinst sp? XP SP3 und WIn 7 SP1

 

@metzger

 

2. Der Adminzugang ist natürlich nur für Wartungs-/Installationszwecke.

3. Wenn kein Netz da ist zB ist es schwer sich mit einem Domänenkonto anzumelden sofern dieses zuvor nicht schonmal lokal angemeldet war.

Ja, das ist möglich. Historisch gewachsen. Niemand würde das so aufbauen, aber es gibt zuviele Leute mit Einfluss und sehr heterogene Umgebungen die bis vor kurzem alle autarke Netzwerke waren und von verschiedenen Leuten betreut wurden.

Aber wie man sieht geht die Tendenz zumindest in eine etwas sicherere Richtung.

Link to comment
Wenn kein Netz da ist zB ist es schwer sich mit einem Domänenkonto anzumelden sofern dieses zuvor nicht schonmal lokal angemeldet war.

 

Wenn kein Netz da ist, ist es auch mit einer CD schwierig, sich mit einem Domänenkonto anzumelden, das zuvor nicht angemeldet war. ;)

 

Wir haben aber ja bereits GPP erwähnt. Da könnte man ja auch zentral verwaltet ein "Notfallkonto" auf den Clients setzen und dessen PW in regelmässigen Abständen und nach jedem Gebrauch ändern.

 

aber es gibt zuviele Leute mit Einfluss

 

Wenn sich Einfluss und IT-Kompetenz decken, ist dagegen nichts einzuwenden. Im anderen Fall schwächt Einfluss die IT-Systeme.

Link to comment
1. Ist diese Aktion sinnvoll?

2. Kann es zu Problemen kommen? Es soll per CD/USB ein lokaler Adminzugriff ermöglicht werden falls Domänenanmeldung nicht möglich. Klingt umständlich...

 

Moin

 

Zu 1: Ich meine nein, ich halte es für besser, neue Kennwörter für die lokalen Administratoren zentral neu zu vergeben. Die Geschichte mit Zugriff für Wartung mittels Datenträger sehe ich als nicht praktikabel an. Eine Verbesserung der IT-Sicherheit wäre es wohl, die Benutzung externer Datenträger zu unterbinden mit Kennwort für BIOS und Startmnenü.

 

Zu 2: Probleme zeigen sich meist erst später.

 

Wenn ich es hier richtig verstehe, ist die Entscheidung schon gefallen, es ist nicht die deinige, behalte den Hintern an der Wand! Ich überlege mir immer ganz genau, gegen wessen Entscheidung ich warum und wann opponiere oder nicht.

 

Habt ihr denn ein System zum Starten auf Datenträger mit lokalen Administratorrechten, ein einigermassen praktikables?

 

Falls nun das Konto des lokalen Administrators deaktiviert, die Sicherheitgruppe der Administratoren aber weiter vorhanden, dann kann man eine normale Wartung doch mit dem Konto eines Domän-Admins durchführen. Weiter kann man mit dem GPO Eingeschränkte Gruppen ein beliebiges Konto in die Gruppe der lokalen Administratoren aufnehmen.

Link to comment
  • 2 weeks later...

So, wurde tatsächlich durchgezogen....

 

Haben eine CD bekommen mit der lokale Accounts aktiviert und gecracked werden können...super. Natürlich muss dann erst der Host vom Netz getrennt werden, weil die richtlinie sonst sofort wieder greift.

 

Suboptimal trifft es nicht ganz... was gpp angeht haben die Angst, dass die Richtlinien nicht überall greifen und verschiedene Passwörter lokal drauf sind.

Man man man, ich würds einfach ausprobieren....

Link to comment

Suboptimal trifft es nicht ganz... was gpp angeht haben die Angst, dass die Richtlinien nicht überall greifen und verschiedene Passwörter lokal drauf sind.

Man man man, ich würds einfach ausprobieren....

 

Sofern ich die Passwörter dokumentiert habe, kann mir das egal sein welches drauf sein sollte. Ansonsten mit einer solchen CD wie Du sie benutzt hast zu Werke gehen.

 

Weshalb sollte eine GPP nicht greifen? Das ist nichts anderes als eine GPO, wenn die greift, dann auch die GPP. Für ältere Clients ist KB943729 wichtig: CSE, GPP, RSAT - Remote Server Admistration Tool und die neue GPMC Aber auch das lässt sich mit Hilfe vom WSUS bereitstellen.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...