Jump to content

Passwort des Domänen-Admin ändern - was tun zur vorbereitung?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Tag zusammen!

 

Wir haben hier in der Firma eine Domäne laufen (kein Active Directories, ganz altmodisch NT4 Domäne) und das Paßwort des Domänen-Admins ist schon seit geraumer Zeit ein offenes Geheimnis.

 

Jetzt habe ich den Admin Job übernommen und würde diesen Zustand ganz gerne ändern.

 

Allerdings ist auch nur der eine Domänen-Admin angelegt (DOMÄNE\Administrator) und damit sind auch allerhand Dienste am laufen. Exchange Server, Virenschutz usw. usf.

 

Jetzt also der Knackpunkt: wenn ich nun das Paßwort des Administratorpaßwortes ändere - laufen diese Dienste dann noch oder sterben die alle mangels korrekten Paßwortes ab?

 

Und wenn das der Fall ist: kann man für diese Dienste das Paßwort ändern? Auch wenn´s länger dauert: lieber einmal richtig aber dann für die Zukunft ein paar Größenordnungen sicherer... ;)

 

Vielen Dank vorab für alle Informationen, das würde mir echt weiterhelfen!

 

Gruß,

Dennis

Link zu diesem Kommentar

Hallo Schnaplo ,

 

 

mich wundert, dass noch niemand geantwortet hat.

denn dies ist sicher ein grundsätzliches Problem bei der Datensicherheit: was nützt es, wenn der arme User sein Kennwort alle 2 Wochen ändern muss, aber das des admins steht auf den standardvorgaben und wird nie geändert (das war bei unserer AS400 über viele Jahre so.}

 

Diese Umstellung sollte genau geplant werden!

Jeden Server und jeden Dienst checken!

 

Wir machen das so:

alle dienste laufen unter einem LOKALEN Admin (den man natürlich standardisieren kann), der aber im Netz keine Rechte hat (weil kein 'Domänen Benutzer'). Er wird über autologon angemeldet und es gibt eigentlich niemanden, der Benutzer und kennwort sieht - ausser den dom-admins.

Ich bin gerade nicht ganz sicher, ob das bei allen servern geht, aber bei den meisten schon.

 

Und die Domänen-Admins müssen ihr kennwort alle 4 Wochen ändern.

 

grutschmööhh

Link zu diesem Kommentar
Original geschrieben von grutsch

Hallo Schnaplo ,

 

 

mich wundert, dass noch niemand geantwortet hat.

denn dies ist sicher ein grundsätzliches Problem bei der Datensicherheit: was nützt es, wenn der arme User sein Kennwort alle 2 Wochen ändern muss, aber das des admins steht auf den standardvorgaben und wird nie geändert (das war bei unserer AS400 über viele Jahre so.}

 

Joah, das sehe ich nämlich genauso. Dummerweise wurde eine strikte Trennung bei Aufbau des Netzes versäumt und jetzt darf ich versuchen rauszufinden wie ich das am elegantesten über die Bühne kriege ;)

 

Original geschrieben von Grutsch

Diese Umstellung sollte genau geplant werden!

Jeden Server und jeden Dienst checken!

 

Und genau da ist ja der Knackpunkt - was sollte ich wohl am schlauesten tun?

 

Was ich mir vorgestellt habe ist:

Den Domänen-Admin (DOMÄNE\Administrator) mit einem neuen Paßwort versehen welches tatsächlich nur an meinen Vertreter und mich rausgegeben wird und dann auf ´nem Zettel in den Safe kommt.

Für Verwaltungsdienste in der Domäne einen weiteren Administrator anlegen (bspw. DOMÄNE\Admin) und dort das Paßwort alle X Wochen zu ändern.

 

Dazu brauch ich aber dringend Tips, da ich keinen blassen Schimmer habe ob ich das Paßwort des bisherigen Domänen-Admins einfach ändern kann.

Daher nochmal: Hat das schonmal jemand gemacht, worauf muß ich bei einer Paßwortänderung achten?

 

Vielen Dank schonmal an Grutsch für die Tips!

Link zu diesem Kommentar

erstmal: dass hier keiner bisher antworten wollte liegt wohl in der heiklen situation, die du hier ansprichst - und da postet man im normalfall nicht wild drauf los. es gibt auch schon beispiele in den vielen threads hier (z.b. vom jahresanfang), die die länger im board weilenden eben vorsichtig werden lassen mit antworten zum themenbereich "änderungen an der administrativen umgebung". aber nun sei's begonnen.

 

wenn du sowieso alles gründlich anpacken willst, dann solltest du diese unsitte, das adminkonto für dienste und tasks zu verwenden, gleich mit abstellen. in deinem fall ist, da das konto ein offenes buch für quasi alle ist, um so dringender zu raten, eigene konten oder gruppen für dienste, datenbanken backupsoftware etc. einzurichten. der admin gehört einfach in gar keine andere funktion als die des über alles wachenden!!!

nimm dir als veranschaulichung den bundespräsidenten: er mischt sich nicht in die produktive, aber keine entscheidung geht im ernstfall über die seine. so hat sich auch dein neues adminkonto zu verhalten.

 

dein ansatz ist ganz in ordnung, wobei, wie schon von grutsch angesprochen, du eine heidenfreude haben wirst, zu prüfen, welche dienste unter welchen accounts laufen und in welchen gruppen sich der admin berechtigt bzw. aus bequemlichkeit unberechtigt breit gemacht hat. da könntest du eventuell hilfe im nt4 reskit oder in den zero administration tools finden, eventuell (weiss das nicht auswendig) gibt es hier werkzeuge, um dir einiges zu erleichtern. da ihr ja scheinbar eine langjährige struktur habt, solltet ihr zu den glücklichen besitzern des zero admin kits gehören - heute bekommst du es gar nicht mehr/kaum noch.

du solltest auch daran denken, dass eventuelle trusted domains exisitieren!

Link zu diesem Kommentar
Original geschrieben von real_tarantoga

dein ansatz ist ganz in ordnung, wobei, wie schon von grutsch angesprochen, du eine heidenfreude haben wirst, zu prüfen, welche dienste unter welchen accounts laufen und in welchen gruppen sich der admin berechtigt bzw. aus bequemlichkeit unberechtigt breit gemacht hat. da könntest du eventuell hilfe im nt4 reskit oder in den zero administration tools finden, eventuell (weiss das nicht auswendig) gibt es hier werkzeuge, um dir einiges zu erleichtern. da ihr ja scheinbar eine langjährige struktur habt, solltet ihr zu den glücklichen besitzern des zero admin kits gehören - heute bekommst du es gar nicht mehr/kaum noch.

du solltest auch daran denken, dass eventuelle trusted domains exisitieren!

 

Oookay... daß das kein Pappenstiel wird hab ich ja schon befürchtet, aber das sind auch nicht gerade ermutigende Neuigkeiten. An dieser Stelle nochmal herzlichen Dank an meinen Vorgänger.

 

Ich möchte kurz noch dazu anmerken, daß ich in die Position des Administrators mehr oder weniger reingerutscht bin, also keine Ausbildung in der Hinsicht habe. Alles selbst beigebracht, learning by doing - ihr wißt schon ;)

Daher bitte ich bereits vorab schonmal um Verzeihung für allzu blöde Fragen :D

 

Bevor ich nun anfange eine Aufstellung der Dienste die den Domänen-Admin als Anmeldung benutzen zu beginnen: wie kann man bei diesen Diensten die Anmeldung nachträglich verändern?

Link zu diesem Kommentar

start -> einstellungen -> systemsteuerung -> dienste

 

dort bei allen diensten, die gestartet sind, auf die schaltfläche startart klicken.

nun kann man sehen, ob diese mit dem systemkonto laufen oder ob ein spezielles konto existiert.

 

in abweichung zum vorredner betreibe ich die dienste mit einem speziellen nutzerkonto, bei dem ich allerdings nach dem motto "set it and forget it" verfahre. (das kennwort bleibt so, da ungefähr 35 - 40 stellen lang und mit allen schikanen ausgestattet) ist natürlich geschmacks- bzw. faulheitsfrage :D

 

gruß

geeroy

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...