Nubian 10 Geschrieben 15. Oktober 2012 Melden Teilen Geschrieben 15. Oktober 2012 Hallo, in unserem Unternehmen sollen in Kürze auf allen Maschinen per Policy die lokalen "Administrator" Konten deaktiviert werden. Aus Gründen der "IT-Sicherheit". Unsere Admins sind natürlich in einer Gruppe mit lokalen Adminrechten drin. 1. Ist diese Aktion sinnvoll? 2. Kann es zu Problemen kommen? Es soll per CD/USB ein lokaler Adminzugriff ermöglicht werden falls Domänenanmeldung nicht möglich. Klingt umständlich... Maschinenanzahl oberer 4-stelliger Bereich, 2K3 Domänenfunktionslevel, WinXP und Win7 Clients. Hab die Info gerade erst bekommen und wäre über ein paar Meinungen hocherfreut. Gruß Nubian Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 15. Oktober 2012 Melden Teilen Geschrieben 15. Oktober 2012 In Win 7 ist das die Default Einstellung. Welches so setzt ihr denn ein? Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 15. Oktober 2012 Melden Teilen Geschrieben 15. Oktober 2012 1. Ist diese Aktion sinnvoll? Ja, aber sie kommt reichlich spät. Wir schreiben doch schon Ende 2012. ;) Grundsätzlich sollte gleichzeitig per Richtlinieneinstellung (GPP) auch dafür gesorgt werden, dass auf den Clients keine "wilden" Konten mit Administratorrechten mehr existieren, d.h. alle Benutzer und Gruppen aus der lokalen Administratorengruppe entfernt werden, die darin nichts zu suchen haben. 2. Kann es zu Problemen kommen? Hängt von den Anwendungen ab. Aber wenn man jetzt Ende 2012 noch Anmeldungen einsetzt, die lokale Adminrechte benötigen, dann ist dies das Problem. Es soll per CD/USB ein lokaler Adminzugriff ermöglicht werden falls Domänenanmeldung nicht möglich. Und warum soll das vorkommen? Und ist es in Eurem Betrieb tatsächlich möglich, einfach eine CD einzuschieben oder einen USB-Stift einzustecken und so die Kontrolle über die Maschine zu übernehmen? Zitieren Link zu diesem Kommentar
Nubian 10 Geschrieben 15. Oktober 2012 Autor Melden Teilen Geschrieben 15. Oktober 2012 @Norbert du meinst sp? XP SP3 und WIn 7 SP1 @metzger 2. Der Adminzugang ist natürlich nur für Wartungs-/Installationszwecke. 3. Wenn kein Netz da ist zB ist es schwer sich mit einem Domänenkonto anzumelden sofern dieses zuvor nicht schonmal lokal angemeldet war. Ja, das ist möglich. Historisch gewachsen. Niemand würde das so aufbauen, aber es gibt zuviele Leute mit Einfluss und sehr heterogene Umgebungen die bis vor kurzem alle autarke Netzwerke waren und von verschiedenen Leuten betreut wurden. Aber wie man sieht geht die Tendenz zumindest in eine etwas sicherere Richtung. Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 15. Oktober 2012 Melden Teilen Geschrieben 15. Oktober 2012 Wenn kein Netz da ist zB ist es schwer sich mit einem Domänenkonto anzumelden sofern dieses zuvor nicht schonmal lokal angemeldet war. Wenn kein Netz da ist, ist es auch mit einer CD schwierig, sich mit einem Domänenkonto anzumelden, das zuvor nicht angemeldet war. ;) Wir haben aber ja bereits GPP erwähnt. Da könnte man ja auch zentral verwaltet ein "Notfallkonto" auf den Clients setzen und dessen PW in regelmässigen Abständen und nach jedem Gebrauch ändern. aber es gibt zuviele Leute mit Einfluss Wenn sich Einfluss und IT-Kompetenz decken, ist dagegen nichts einzuwenden. Im anderen Fall schwächt Einfluss die IT-Systeme. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 16. Oktober 2012 Melden Teilen Geschrieben 16. Oktober 2012 1. Ist diese Aktion sinnvoll?2. Kann es zu Problemen kommen? Es soll per CD/USB ein lokaler Adminzugriff ermöglicht werden falls Domänenanmeldung nicht möglich. Klingt umständlich... Moin Zu 1: Ich meine nein, ich halte es für besser, neue Kennwörter für die lokalen Administratoren zentral neu zu vergeben. Die Geschichte mit Zugriff für Wartung mittels Datenträger sehe ich als nicht praktikabel an. Eine Verbesserung der IT-Sicherheit wäre es wohl, die Benutzung externer Datenträger zu unterbinden mit Kennwort für BIOS und Startmnenü. Zu 2: Probleme zeigen sich meist erst später. Wenn ich es hier richtig verstehe, ist die Entscheidung schon gefallen, es ist nicht die deinige, behalte den Hintern an der Wand! Ich überlege mir immer ganz genau, gegen wessen Entscheidung ich warum und wann opponiere oder nicht. Habt ihr denn ein System zum Starten auf Datenträger mit lokalen Administratorrechten, ein einigermassen praktikables? Falls nun das Konto des lokalen Administrators deaktiviert, die Sicherheitgruppe der Administratoren aber weiter vorhanden, dann kann man eine normale Wartung doch mit dem Konto eines Domän-Admins durchführen. Weiter kann man mit dem GPO Eingeschränkte Gruppen ein beliebiges Konto in die Gruppe der lokalen Administratoren aufnehmen. Zitieren Link zu diesem Kommentar
Wurzerl 10 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 Der letzte Beitrag in diesem Artikel. Zitieren Link zu diesem Kommentar
Nubian 10 Geschrieben 24. Oktober 2012 Autor Melden Teilen Geschrieben 24. Oktober 2012 So, wurde tatsächlich durchgezogen.... Haben eine CD bekommen mit der lokale Accounts aktiviert und gecracked werden können...super. Natürlich muss dann erst der Host vom Netz getrennt werden, weil die richtlinie sonst sofort wieder greift. Suboptimal trifft es nicht ganz... was gpp angeht haben die Angst, dass die Richtlinien nicht überall greifen und verschiedene Passwörter lokal drauf sind. Man man man, ich würds einfach ausprobieren.... Zitieren Link zu diesem Kommentar
Sunny61 773 Geschrieben 24. Oktober 2012 Melden Teilen Geschrieben 24. Oktober 2012 Suboptimal trifft es nicht ganz... was gpp angeht haben die Angst, dass die Richtlinien nicht überall greifen und verschiedene Passwörter lokal drauf sind. Man man man, ich würds einfach ausprobieren.... Sofern ich die Passwörter dokumentiert habe, kann mir das egal sein welches drauf sein sollte. Ansonsten mit einer solchen CD wie Du sie benutzt hast zu Werke gehen. Weshalb sollte eine GPP nicht greifen? Das ist nichts anderes als eine GPO, wenn die greift, dann auch die GPP. Für ältere Clients ist KB943729 wichtig: CSE, GPP, RSAT - Remote Server Admistration Tool und die neue GPMC Aber auch das lässt sich mit Hilfe vom WSUS bereitstellen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.