Schnaplo 10 Geschrieben 22. Mai 2003 Melden Teilen Geschrieben 22. Mai 2003 Guten Tag zusammen! Wir haben hier in der Firma eine Domäne laufen (kein Active Directories, ganz altmodisch NT4 Domäne) und das Paßwort des Domänen-Admins ist schon seit geraumer Zeit ein offenes Geheimnis. Jetzt habe ich den Admin Job übernommen und würde diesen Zustand ganz gerne ändern. Allerdings ist auch nur der eine Domänen-Admin angelegt (DOMÄNE\Administrator) und damit sind auch allerhand Dienste am laufen. Exchange Server, Virenschutz usw. usf. Jetzt also der Knackpunkt: wenn ich nun das Paßwort des Administratorpaßwortes ändere - laufen diese Dienste dann noch oder sterben die alle mangels korrekten Paßwortes ab? Und wenn das der Fall ist: kann man für diese Dienste das Paßwort ändern? Auch wenn´s länger dauert: lieber einmal richtig aber dann für die Zukunft ein paar Größenordnungen sicherer... ;) Vielen Dank vorab für alle Informationen, das würde mir echt weiterhelfen! Gruß, Dennis Zitieren Link zu diesem Kommentar
grutsch 10 Geschrieben 22. Mai 2003 Melden Teilen Geschrieben 22. Mai 2003 Hallo Schnaplo , mich wundert, dass noch niemand geantwortet hat. denn dies ist sicher ein grundsätzliches Problem bei der Datensicherheit: was nützt es, wenn der arme User sein Kennwort alle 2 Wochen ändern muss, aber das des admins steht auf den standardvorgaben und wird nie geändert (das war bei unserer AS400 über viele Jahre so.} Diese Umstellung sollte genau geplant werden! Jeden Server und jeden Dienst checken! Wir machen das so: alle dienste laufen unter einem LOKALEN Admin (den man natürlich standardisieren kann), der aber im Netz keine Rechte hat (weil kein 'Domänen Benutzer'). Er wird über autologon angemeldet und es gibt eigentlich niemanden, der Benutzer und kennwort sieht - ausser den dom-admins. Ich bin gerade nicht ganz sicher, ob das bei allen servern geht, aber bei den meisten schon. Und die Domänen-Admins müssen ihr kennwort alle 4 Wochen ändern. grutschmööhh Zitieren Link zu diesem Kommentar
Schnaplo 10 Geschrieben 23. Mai 2003 Autor Melden Teilen Geschrieben 23. Mai 2003 Original geschrieben von grutsch Hallo Schnaplo , mich wundert, dass noch niemand geantwortet hat. denn dies ist sicher ein grundsätzliches Problem bei der Datensicherheit: was nützt es, wenn der arme User sein Kennwort alle 2 Wochen ändern muss, aber das des admins steht auf den standardvorgaben und wird nie geändert (das war bei unserer AS400 über viele Jahre so.} Joah, das sehe ich nämlich genauso. Dummerweise wurde eine strikte Trennung bei Aufbau des Netzes versäumt und jetzt darf ich versuchen rauszufinden wie ich das am elegantesten über die Bühne kriege ;) Original geschrieben von GrutschDiese Umstellung sollte genau geplant werden! Jeden Server und jeden Dienst checken! Und genau da ist ja der Knackpunkt - was sollte ich wohl am schlauesten tun? Was ich mir vorgestellt habe ist: Den Domänen-Admin (DOMÄNE\Administrator) mit einem neuen Paßwort versehen welches tatsächlich nur an meinen Vertreter und mich rausgegeben wird und dann auf ´nem Zettel in den Safe kommt. Für Verwaltungsdienste in der Domäne einen weiteren Administrator anlegen (bspw. DOMÄNE\Admin) und dort das Paßwort alle X Wochen zu ändern. Dazu brauch ich aber dringend Tips, da ich keinen blassen Schimmer habe ob ich das Paßwort des bisherigen Domänen-Admins einfach ändern kann. Daher nochmal: Hat das schonmal jemand gemacht, worauf muß ich bei einer Paßwortänderung achten? Vielen Dank schonmal an Grutsch für die Tips! Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 23. Mai 2003 Melden Teilen Geschrieben 23. Mai 2003 erstmal: dass hier keiner bisher antworten wollte liegt wohl in der heiklen situation, die du hier ansprichst - und da postet man im normalfall nicht wild drauf los. es gibt auch schon beispiele in den vielen threads hier (z.b. vom jahresanfang), die die länger im board weilenden eben vorsichtig werden lassen mit antworten zum themenbereich "änderungen an der administrativen umgebung". aber nun sei's begonnen. wenn du sowieso alles gründlich anpacken willst, dann solltest du diese unsitte, das adminkonto für dienste und tasks zu verwenden, gleich mit abstellen. in deinem fall ist, da das konto ein offenes buch für quasi alle ist, um so dringender zu raten, eigene konten oder gruppen für dienste, datenbanken backupsoftware etc. einzurichten. der admin gehört einfach in gar keine andere funktion als die des über alles wachenden!!! nimm dir als veranschaulichung den bundespräsidenten: er mischt sich nicht in die produktive, aber keine entscheidung geht im ernstfall über die seine. so hat sich auch dein neues adminkonto zu verhalten. dein ansatz ist ganz in ordnung, wobei, wie schon von grutsch angesprochen, du eine heidenfreude haben wirst, zu prüfen, welche dienste unter welchen accounts laufen und in welchen gruppen sich der admin berechtigt bzw. aus bequemlichkeit unberechtigt breit gemacht hat. da könntest du eventuell hilfe im nt4 reskit oder in den zero administration tools finden, eventuell (weiss das nicht auswendig) gibt es hier werkzeuge, um dir einiges zu erleichtern. da ihr ja scheinbar eine langjährige struktur habt, solltet ihr zu den glücklichen besitzern des zero admin kits gehören - heute bekommst du es gar nicht mehr/kaum noch. du solltest auch daran denken, dass eventuelle trusted domains exisitieren! Zitieren Link zu diesem Kommentar
Schnaplo 10 Geschrieben 23. Mai 2003 Autor Melden Teilen Geschrieben 23. Mai 2003 Original geschrieben von real_tarantoga dein ansatz ist ganz in ordnung, wobei, wie schon von grutsch angesprochen, du eine heidenfreude haben wirst, zu prüfen, welche dienste unter welchen accounts laufen und in welchen gruppen sich der admin berechtigt bzw. aus bequemlichkeit unberechtigt breit gemacht hat. da könntest du eventuell hilfe im nt4 reskit oder in den zero administration tools finden, eventuell (weiss das nicht auswendig) gibt es hier werkzeuge, um dir einiges zu erleichtern. da ihr ja scheinbar eine langjährige struktur habt, solltet ihr zu den glücklichen besitzern des zero admin kits gehören - heute bekommst du es gar nicht mehr/kaum noch. du solltest auch daran denken, dass eventuelle trusted domains exisitieren! Oookay... daß das kein Pappenstiel wird hab ich ja schon befürchtet, aber das sind auch nicht gerade ermutigende Neuigkeiten. An dieser Stelle nochmal herzlichen Dank an meinen Vorgänger. Ich möchte kurz noch dazu anmerken, daß ich in die Position des Administrators mehr oder weniger reingerutscht bin, also keine Ausbildung in der Hinsicht habe. Alles selbst beigebracht, learning by doing - ihr wißt schon ;) Daher bitte ich bereits vorab schonmal um Verzeihung für allzu blöde Fragen :D Bevor ich nun anfange eine Aufstellung der Dienste die den Domänen-Admin als Anmeldung benutzen zu beginnen: wie kann man bei diesen Diensten die Anmeldung nachträglich verändern? Zitieren Link zu diesem Kommentar
Geeroy 10 Geschrieben 23. Mai 2003 Melden Teilen Geschrieben 23. Mai 2003 start -> einstellungen -> systemsteuerung -> dienste dort bei allen diensten, die gestartet sind, auf die schaltfläche startart klicken. nun kann man sehen, ob diese mit dem systemkonto laufen oder ob ein spezielles konto existiert. in abweichung zum vorredner betreibe ich die dienste mit einem speziellen nutzerkonto, bei dem ich allerdings nach dem motto "set it and forget it" verfahre. (das kennwort bleibt so, da ungefähr 35 - 40 stellen lang und mit allen schikanen ausgestattet) ist natürlich geschmacks- bzw. faulheitsfrage :D gruß geeroy Zitieren Link zu diesem Kommentar
real_tarantoga 11 Geschrieben 23. Mai 2003 Melden Teilen Geschrieben 23. Mai 2003 Original geschrieben von Geeroy abweichung zum vorredner betreibe ich die dienste mit einem speziellen nutzerkonto da sind wir gar nicht verschiedener meinung, denn ich meinte es genau so, wie ich es schrieb: unsitte, das adminkonto! zu verwenden - anderer user ist genau das, was ich meine! Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 23. Mai 2003 Melden Teilen Geschrieben 23. Mai 2003 Hi Schnaplo, Wenn du schon an die Passwörter rangehst, dann würd ich gleich die Komplexitätsanforderungen mit erhöhen. Hier findest du eine Step by Step Anleitung, wie du das unter NT4.0 machen kannst: http://support.microsoft.com/default.aspx?scid=kb%3ben-us%3b161990 Cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.