Jump to content

Lokales Admin Passwort


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

grundsätzlich kann man es so wie von Norbert beschrieben durchführen. Ich hätte jedoch bei einem solchen Vorgehen immer ein wenig Bauchschmerzen in Bezug auf die Sicherheit.

 

Egal ob Malware, SYSTEM-Dienste oder ähnliches - es kann immer Möglichkeiten geben, in den SYSTEM-Kontext zu kommen und damit die Rechte des Computers zu erlangen. Die Frage ist immer, wie sieht Deine Umgebung aus und gibt es solche Schlupflöcher -die dann natürlich grundsätzlich behoben werden sollten...

 

Ich persönlich würde daher eher in Richtung der folgenden Varianten gehen (beispielhaft):

 

1. How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers

2. Hey, Scripting Guy! How Can I Change the Local Administrator Password on All My Computers?

 

Viele Grüße

olc

Link zu diesem Kommentar

Servus,

 

wie kann ich in einer Windows Domaene in einem Rutsch bei allen Clients (nur WinXP) das lokale Administrator Passwort ändern?

 

in dem du bei angeschalteten Clients, dass Tool "Password Pusher" ausführst und einfach das neue Kennwort vergibst.

Das Tool erhälst du, in dem du Samuel eine Mail sendest.

 

S@muel-AreA

 

Trotzdem rate ich dir von dieser Vorgehensweise dringend ab.

Das lokale Admin-Kennwort auf den Clients sollte nicht überall gleich lauten.

Link zu diesem Kommentar

hey daim!

 

weil du meinst das admin kennwort sollte nirgends gleich sein...

meinst du damit, dass die passwörter auf clients und servern z.b. nicht gleich lauten sollten oder wirklich auf keinen 2 maschinen das gleiche adminkennwort?

wenn 2.: wie merkst du dir das ganze? hast du da ein system?

spielen deine kollegen da mit (meine würdens nicht...hehe)?

 

wir haben im moment 3 kennwörter...eins für workstations, eins für notebooks und eins für server (also was den lokalen admin betrifft)...findest du das zu unsicher?

Link zu diesem Kommentar

Servus,

 

oder wirklich auf keinen 2 maschinen das gleiche adminkennwort?

 

genau so. Du hast doch auch für deine Wohnung, dein Auto und für das Büro jeweils einen Schlüssel. Dabei würdest du auch nicht auf die Idee kommen, mit einem Schlüssel überall rein kommen zu wollen. Warum? Natürlich wegen der Sicherheit. Verlierst du einen Schlüssel, kann der Finder höchstens eine Tür öffnen und nicht alle anderen.

 

 

wenn 2.: wie merkst du dir das ganze? hast du da ein system?

 

Allen voran lautet das Zauberwort (das was kein Admin hören möchte): Dokumentation (auf Zetteln die verschlossen im Schrank sind oder einer Datenbank usw.).

Nun kann man sich natürlich für die Kennwortvergabe ein eigenes System ausdenken. Z.B. könnte in dem Kennwort die Inventarnummer der Maschine und die Zimmernummer verwendet werden. Dabei gibt es unzählige Varianten, du musst dir eins ausdenken.

 

 

spielen deine kollegen da mit (meine würdens nicht...hehe)?

 

Alles Erziehung. ;)

Genauso ist es Pflicht, dass der Admin unter seinem Benutzeraccount keine Domänen-Admin Rechte hat. Das wird auch heute noch leider viel zu oft vernachlässigt.

 

 

wir haben im moment 3 kennwörter...eins für workstations, eins für notebooks und eins für server (also was den lokalen admin betrifft)...findest du das zu unsicher?

 

Wenn du diese Frage an die Securityleute von Microsoft stellen würdest, würden ihnen die Haare zu Berge stehen ;) . Es wird natürlich nicht alles so heiß gegessen wie es gekocht wird. Es ist gut das du für die Systeme bereits verschiedene Kennwörter vergibst. Um eine größere Sicherheit zu gewinnen, sollte eben jedes System worauf es einen lokalen Administratoraccount gibt, sein eigenes Kennwort besitzen.

Link zu diesem Kommentar
genau so. Du hast doch auch für deine Wohnung, dein Auto und für das Büro jeweils einen Schlüssel. Dabei würdest du auch nicht auf die Idee kommen, mit einem Schlüssel überall rein kommen zu wollen.

 

Doch, fände ich gut. :) Alles mit Fingerabdruck.

 

Genauso ist es Pflicht, dass der Admin unter seinem Benutzeraccount keine Domänen-Admin Rechte hat. Das wird auch heute noch leider viel zu oft vernachlässigt.

 

Du Admin, ich Dom-Admin ;) d'n'r

 

Wenn du diese Frage an die Securityleute von Microsoft stellen würdest, würden ihnen die Haare zu Berge stehen ;) .

 

War das nicht die Firma, bei der alle als lokale Admins arbeiten? ;)

 

Mit GP Preferences wird das Kennwortändern per GPO möglich. Wäre sicherlich die schönste Methode.

 

Bye

Norbert

Link zu diesem Kommentar

 

Allen voran lautet das Zauberwort (das was kein Admin hören möchte): Dokumentation (auf Zetteln die verschlossen im Schrank sind oder einer Datenbank usw.).

 

tja...das ist aber nicht tragbar.

wenn ich mich auf einer workstation lokal anmelden will,

möchte ich nicht jedes mal zum safe gehen und mir das PW herausholen (wir haben über 300 clients)

 

Nun kann man sich natürlich für die Kennwortvergabe ein eigenes System ausdenken. Z.B. könnte in dem Kennwort die Inventarnummer der Maschine und die Zimmernummer verwendet werden. Dabei gibt es unzählige Varianten, du musst dir eins ausdenken.

 

ja wenn dann stell ich mir das auch so vor...klingt gut so ein system.

 

 

Alles Erziehung. ;)

Genauso ist es Pflicht, dass der Admin unter seinem Benutzeraccount keine Domänen-Admin Rechte hat. Das wird auch heute noch leider viel zu oft vernachlässigt.

 

huiuiui...da hab ich ja noch einiges an erziehung vor mir...hehe

aber ja...das mit dem adminrechten ist klar...war auch bei uns lange zeit so,

aber jetzt nicht mehr :D

 

 

Wenn du diese Frage an die Securityleute von Microsoft stellen würdest, würden ihnen die Haare zu Berge stehen ;) . Es wird natürlich nicht alles so heiß gegessen wie es gekocht wird. Es ist gut das du für die Systeme bereits verschiedene Kennwörter vergibst. Um eine größere Sicherheit zu gewinnen, sollte eben jedes System worauf es einen lokalen Administratoraccount gibt, sein eigenes Kennwort besitzen.

 

das wär fast ne umfrage wert wer das wirklich so macht...

ist schon klar, dass es so gemacht gehört, nur wieviele das wirklich auch so umsetzen würd mich intressiern...

 

apropos: wieso steht über derartige dinge nichts im windows server 2003 security guide von MS?

oder hab ich das überlesn?

Link zu diesem Kommentar
tja...das ist aber nicht tragbar.

 

Dann ist es bei dir/euch nicht tragbar.

Ich kenne Unternehmen mit weitaus mehr Clients, die das genauso machen.

 

 

wenn ich mich auf einer workstation lokal anmelden will,

möchte ich nicht jedes mal zum safe gehen und mir das PW herausholen (wir haben über 300 clients)

 

Und erneut der Spruch: Wenn das Wörtchen wenn nicht wäre...

Du musst dich doch nicht lokal anmelden. Du kennst doch das Domänen-Admin Kennwort. Das reicht doch aus.

 

 

ja wenn dann stell ich mir das auch so vor...klingt gut so ein system.

 

Wie gesagt, es gibt ettliche Varianten. Ihr müsst euch das am praktikabelsten aussuchen.

 

 

huiuiui...da hab ich ja noch einiges an erziehung vor mir...hehe

 

Ich sage immer, wenn ein Admin seinen Benutzern etwas vorschreibt, hat sich der Admin natürlich auch selbst daran zu halten. Er soll schließlich als Vorbild dienen.

 

 

das wär fast ne umfrage wert wer das wirklich so macht...

 

Das ist die Praxis weitaus anders aussieht, ist uns allen doch klar.

 

 

apropos: wieso steht über derartige dinge nichts im windows server 2003 security guide von MS?

oder hab ich das überlesn?

 

Ich habe jetzt zwar keinen Artikel zur Hand, aber ich bin schon über solch eine Empfehlung gestolpert. Falls ich sie finden sollte, reiche ich sie nach.

Link zu diesem Kommentar

Hallo,

Bei uns ist der lokale Administratoraccount pro Maschinentyp (Clients, SQL, etc.) überall gleich, 20 Zeichen incl.Sonderzeichen, Zahlen etc, abgelegt in einem Tresor.

In die lokale Administratorgruppe ist eine Domänengruppe verschachtelt, z.B. Clientadministratoren, die die Accounts enthält, die sich eben an diesem Maschinetyp als Admins anmelden dürfen. Ebenso gibt es eine AD-Gruppe, die diesen Maschinentyp rebooten darf, etc.

Mit lokal gepflegten Konten verwaltet man sich zu Tode, dafür gibts schliesslich AD und seinen Möglichkeiten für ein Rollenmodell Ein oft gefordertes Auditing mit dem lokalem nicht personifizierten AdminAccount ist ebenfalls nicht machbar.

Oder habe ich Euch falsch verstanden?

 

cu

blub

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...