Krischaaan 10 Geschrieben 12. April 2008 Melden Teilen Geschrieben 12. April 2008 Hallo zusammen, wie kann ich in einer Windows Domaene in einem Rutsch bei allen Clients (nur WinXP) das lokale Administrator Passwort ändern? Gruss Krischaaan Zitieren Link zu diesem Kommentar
NorbertFe 2.036 Geschrieben 12. April 2008 Melden Teilen Geschrieben 12. April 2008 Hallo zusammen, wie kann ich in einer Windows Domaene in einem Rutsch bei allen Clients (nur WinXP) das lokale Administrator Passwort ändern? Gruss Krischaaan Mit einem Computerstartupskript. (Leseberechtigungen sollten darauf dann aber auch nur die Domänencomputer erhalten und nicht die User ;) Bye Norbert Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. April 2008 Melden Teilen Geschrieben 12. April 2008 Hi, grundsätzlich kann man es so wie von Norbert beschrieben durchführen. Ich hätte jedoch bei einem solchen Vorgehen immer ein wenig Bauchschmerzen in Bezug auf die Sicherheit. Egal ob Malware, SYSTEM-Dienste oder ähnliches - es kann immer Möglichkeiten geben, in den SYSTEM-Kontext zu kommen und damit die Rechte des Computers zu erlangen. Die Frage ist immer, wie sieht Deine Umgebung aus und gibt es solche Schlupflöcher -die dann natürlich grundsätzlich behoben werden sollten... Ich persönlich würde daher eher in Richtung der folgenden Varianten gehen (beispielhaft): 1. How to Use the Cusrmgr.exe Tool to Change Administrator Account Password on Multiple Computers 2. Hey, Scripting Guy! How Can I Change the Local Administrator Password on All My Computers? Viele Grüße olc Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Servus, wie kann ich in einer Windows Domaene in einem Rutsch bei allen Clients (nur WinXP) das lokale Administrator Passwort ändern? in dem du bei angeschalteten Clients, dass Tool "Password Pusher" ausführst und einfach das neue Kennwort vergibst. Das Tool erhälst du, in dem du Samuel eine Mail sendest. S@muel-AreA Trotzdem rate ich dir von dieser Vorgehensweise dringend ab. Das lokale Admin-Kennwort auf den Clients sollte nicht überall gleich lauten. Zitieren Link zu diesem Kommentar
NorbertFe 2.036 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Trotzdem rate ich dir von dieser Vorgehensweise dringend ab.Das lokale Admin-Kennwort auf den Clients sollte nicht überall gleich lauten. Das stört doch nicht, wenn der Account disabled ist ;) Bye Norbert Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Das stört doch nicht, wenn der Account disabled ist ;) Wenn das Wörtchen wenn nicht wäre... trotzdem ist das pfui ;) . Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 hey daim! weil du meinst das admin kennwort sollte nirgends gleich sein... meinst du damit, dass die passwörter auf clients und servern z.b. nicht gleich lauten sollten oder wirklich auf keinen 2 maschinen das gleiche adminkennwort? wenn 2.: wie merkst du dir das ganze? hast du da ein system? spielen deine kollegen da mit (meine würdens nicht...hehe)? wir haben im moment 3 kennwörter...eins für workstations, eins für notebooks und eins für server (also was den lokalen admin betrifft)...findest du das zu unsicher? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Die Art, wie der Password Pusher zu beziehen ist, die macht mir Bauchschmerzen; ich habe deshalb darauf schon vor längerer Zeit verzichtet. Unterschiedliche Passwörter für die lokalen Admins der Rechner, ich halte das für handhabbar bei wenigen Rechnern wie 10 Stück, nicht aber bei z.B. 100 oder mehr. Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 Servus, oder wirklich auf keinen 2 maschinen das gleiche adminkennwort? genau so. Du hast doch auch für deine Wohnung, dein Auto und für das Büro jeweils einen Schlüssel. Dabei würdest du auch nicht auf die Idee kommen, mit einem Schlüssel überall rein kommen zu wollen. Warum? Natürlich wegen der Sicherheit. Verlierst du einen Schlüssel, kann der Finder höchstens eine Tür öffnen und nicht alle anderen. wenn 2.: wie merkst du dir das ganze? hast du da ein system? Allen voran lautet das Zauberwort (das was kein Admin hören möchte): Dokumentation (auf Zetteln die verschlossen im Schrank sind oder einer Datenbank usw.). Nun kann man sich natürlich für die Kennwortvergabe ein eigenes System ausdenken. Z.B. könnte in dem Kennwort die Inventarnummer der Maschine und die Zimmernummer verwendet werden. Dabei gibt es unzählige Varianten, du musst dir eins ausdenken. spielen deine kollegen da mit (meine würdens nicht...hehe)? Alles Erziehung. ;) Genauso ist es Pflicht, dass der Admin unter seinem Benutzeraccount keine Domänen-Admin Rechte hat. Das wird auch heute noch leider viel zu oft vernachlässigt. wir haben im moment 3 kennwörter...eins für workstations, eins für notebooks und eins für server (also was den lokalen admin betrifft)...findest du das zu unsicher? Wenn du diese Frage an die Securityleute von Microsoft stellen würdest, würden ihnen die Haare zu Berge stehen ;) . Es wird natürlich nicht alles so heiß gegessen wie es gekocht wird. Es ist gut das du für die Systeme bereits verschiedene Kennwörter vergibst. Um eine größere Sicherheit zu gewinnen, sollte eben jedes System worauf es einen lokalen Administratoraccount gibt, sein eigenes Kennwort besitzen. Zitieren Link zu diesem Kommentar
NorbertFe 2.036 Geschrieben 13. April 2008 Melden Teilen Geschrieben 13. April 2008 genau so. Du hast doch auch für deine Wohnung, dein Auto und für das Büro jeweils einen Schlüssel. Dabei würdest du auch nicht auf die Idee kommen, mit einem Schlüssel überall rein kommen zu wollen. Doch, fände ich gut. :) Alles mit Fingerabdruck. Genauso ist es Pflicht, dass der Admin unter seinem Benutzeraccount keine Domänen-Admin Rechte hat. Das wird auch heute noch leider viel zu oft vernachlässigt. Du Admin, ich Dom-Admin ;) d'n'r Wenn du diese Frage an die Securityleute von Microsoft stellen würdest, würden ihnen die Haare zu Berge stehen ;) . War das nicht die Firma, bei der alle als lokale Admins arbeiten? ;) Mit GP Preferences wird das Kennwortändern per GPO möglich. Wäre sicherlich die schönste Methode. Bye Norbert Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 14. April 2008 Melden Teilen Geschrieben 14. April 2008 Allen voran lautet das Zauberwort (das was kein Admin hören möchte): Dokumentation (auf Zetteln die verschlossen im Schrank sind oder einer Datenbank usw.). tja...das ist aber nicht tragbar. wenn ich mich auf einer workstation lokal anmelden will, möchte ich nicht jedes mal zum safe gehen und mir das PW herausholen (wir haben über 300 clients) Nun kann man sich natürlich für die Kennwortvergabe ein eigenes System ausdenken. Z.B. könnte in dem Kennwort die Inventarnummer der Maschine und die Zimmernummer verwendet werden. Dabei gibt es unzählige Varianten, du musst dir eins ausdenken. ja wenn dann stell ich mir das auch so vor...klingt gut so ein system. Alles Erziehung. ;) Genauso ist es Pflicht, dass der Admin unter seinem Benutzeraccount keine Domänen-Admin Rechte hat. Das wird auch heute noch leider viel zu oft vernachlässigt. huiuiui...da hab ich ja noch einiges an erziehung vor mir...hehe aber ja...das mit dem adminrechten ist klar...war auch bei uns lange zeit so, aber jetzt nicht mehr :D Wenn du diese Frage an die Securityleute von Microsoft stellen würdest, würden ihnen die Haare zu Berge stehen ;) . Es wird natürlich nicht alles so heiß gegessen wie es gekocht wird. Es ist gut das du für die Systeme bereits verschiedene Kennwörter vergibst. Um eine größere Sicherheit zu gewinnen, sollte eben jedes System worauf es einen lokalen Administratoraccount gibt, sein eigenes Kennwort besitzen. das wär fast ne umfrage wert wer das wirklich so macht... ist schon klar, dass es so gemacht gehört, nur wieviele das wirklich auch so umsetzen würd mich intressiern... apropos: wieso steht über derartige dinge nichts im windows server 2003 security guide von MS? oder hab ich das überlesn? Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 14. April 2008 Melden Teilen Geschrieben 14. April 2008 tja...das ist aber nicht tragbar. Dann ist es bei dir/euch nicht tragbar. Ich kenne Unternehmen mit weitaus mehr Clients, die das genauso machen. wenn ich mich auf einer workstation lokal anmelden will,möchte ich nicht jedes mal zum safe gehen und mir das PW herausholen (wir haben über 300 clients) Und erneut der Spruch: Wenn das Wörtchen wenn nicht wäre... Du musst dich doch nicht lokal anmelden. Du kennst doch das Domänen-Admin Kennwort. Das reicht doch aus. ja wenn dann stell ich mir das auch so vor...klingt gut so ein system. Wie gesagt, es gibt ettliche Varianten. Ihr müsst euch das am praktikabelsten aussuchen. huiuiui...da hab ich ja noch einiges an erziehung vor mir...hehe Ich sage immer, wenn ein Admin seinen Benutzern etwas vorschreibt, hat sich der Admin natürlich auch selbst daran zu halten. Er soll schließlich als Vorbild dienen. das wär fast ne umfrage wert wer das wirklich so macht... Das ist die Praxis weitaus anders aussieht, ist uns allen doch klar. apropos: wieso steht über derartige dinge nichts im windows server 2003 security guide von MS?oder hab ich das überlesn? Ich habe jetzt zwar keinen Artikel zur Hand, aber ich bin schon über solch eine Empfehlung gestolpert. Falls ich sie finden sollte, reiche ich sie nach. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 14. April 2008 Melden Teilen Geschrieben 14. April 2008 Hallo, Bei uns ist der lokale Administratoraccount pro Maschinentyp (Clients, SQL, etc.) überall gleich, 20 Zeichen incl.Sonderzeichen, Zahlen etc, abgelegt in einem Tresor. In die lokale Administratorgruppe ist eine Domänengruppe verschachtelt, z.B. Clientadministratoren, die die Accounts enthält, die sich eben an diesem Maschinetyp als Admins anmelden dürfen. Ebenso gibt es eine AD-Gruppe, die diesen Maschinentyp rebooten darf, etc. Mit lokal gepflegten Konten verwaltet man sich zu Tode, dafür gibts schliesslich AD und seinen Möglichkeiten für ein Rollenmodell Ein oft gefordertes Auditing mit dem lokalem nicht personifizierten AdminAccount ist ebenfalls nicht machbar. Oder habe ich Euch falsch verstanden? cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.