Canni 11 Geschrieben 12. Juni 2009 Melden Teilen Geschrieben 12. Juni 2009 Hallo zusammen, auf jedem unserer Clients gibt es ja zwei Administratoren-Konten: Einmal den lokalen Administrator --> dessen Kennwort lässt sich durch ein Skript oder das manuelle Verbinden mittels Computerverwaltung ändern. Dann den Administrator der Domäne: DOMAENE\Administrator --> dieses Kennwort lässt sich zwar im AD ändern, es synchronisiert aber natürlich nicht mit den zwischengespeicherten Anmeldeinformationen auf dem Client. Ändere ich also mein Domänen-Admin-Kennwort im AD, ist in Wahrheit auf den Clients (hier: vor allem Notebooks !) noch das alte zwischengespeichert. Wie verfahrt ihr hier? Canni Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 12. Juni 2009 Melden Teilen Geschrieben 12. Juni 2009 Hi, warum möchtest Du das lokale Domänen-Admin Kennwort / den Cache aktualisieren? Sind die Clients längere Zeit nicht im Domänennetzwerk, so daß sich die lokale Anmeldung von einem (Domänen-) Administrator verzögert? Oder geht es um einen Sicherheitsvorfall, so daß lokal die Caches geleert werden müssen? Viele Grüße olc Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 12. Juni 2009 Melden Teilen Geschrieben 12. Juni 2009 Moin, Cached Credentials werden bei der nächsten erfolgreichen Anmeldung aktualisiert. Allgemein sollte man es vermeiden, sich mit zu hohen Rechten an einem Client anzumelden. Ein lokaler Administrator kann mit den passenden Tools die Cached Credentials auslesen und so schnell zum Domänen-Admin werden ... Gruß, Nils Zitieren Link zu diesem Kommentar
Sanic 10 Geschrieben 12. Juni 2009 Melden Teilen Geschrieben 12. Juni 2009 Moin, Cached Credentials werden bei der nächsten erfolgreichen Anmeldung aktualisiert. Allgemein sollte man es vermeiden, sich mit zu hohen Rechten an einem Client anzumelden. Ein lokaler Administrator kann mit den passenden Tools die Cached Credentials auslesen und so schnell zum Domänen-Admin werden ... Gruß, Nils Man muss ja noch nicht einmal wirklich lokaler Administrator eines PCs sein. Das ist ja das gefährliche. Sobald du physikalischen Zugang zu einer Maschine kriegst, kann man sich auch Adminrechte mit Tools verschaffen. Von daher ist der Tipp mit dem vorsichtigen Umgang von Cached Credentials sehr ratsam. Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 12. Juni 2009 Autor Melden Teilen Geschrieben 12. Juni 2009 Hallo zusammen, wer meldet sich denn mit zu hohen Rechten an? :-) Die Nutzer sind "Domänen-Benutzer". Aber jeder hat doch einen Domänen-Administrator-Account auf der Maschine, nicht? Dessen Kennwort im Cache aktualisiert sich erst nach der nächsten erfolgreichen Anmeldung, bei der der DC verfügbar ist (oder "Anmelden als" bei aktiver VPN-Verbindung). Daher meine Frage. Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 13. Juni 2009 Melden Teilen Geschrieben 13. Juni 2009 Das Kennwort befindet sich aber nur im Cache wenn sich ein Domänenadmin jemals von der Maschine aus angemeldet hat. Und auf einem x beliebigen Client gibt es keinen Grund sich als Domänenadmin anzumelden. Frank Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 13. Juni 2009 Autor Melden Teilen Geschrieben 13. Juni 2009 Ok, sondern? Wie würdest Du Maschinen verwalten, die in der Domäne sind? Doch nicht mit einem lokalen Admin-Konto? Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 13. Juni 2009 Melden Teilen Geschrieben 13. Juni 2009 Definiere verwalten. Für das normale arbeiten in der Domäne hat mein Domänenbenutzerkonto über Delegierung das Recht Benutzer, Computer und Gruppen zu verwalten. Damit wird 90% der täglichen Aufgaben erschlagen. Computer werden auch mit meinem normalen Benutzerkonto in die Domäne gehoben. Dafür benötigt man keine Domänen Administratorrechte. Was treibst Du denn auf den Rechnern das Du den großen Bahnhof benötigst? Frank Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 15. Juni 2009 Autor Melden Teilen Geschrieben 15. Juni 2009 Hallo zusammen, danke für die Antworten. Es macht doch immer Spaß, sich gegenseitig auszutauschen. Ich hoffe, wir haben nicht etwas aneinander vorbeigesprochen. Ich nenne mal "die Fakten" :-) : 1. Alle Notebooks/Desktops befinden sich in der Domäne (Domänenfunktionsebene: Windows Server 2003); 2. wir setzen ausschließlich XP Prof. ein; 3. bei fast allen Geräten handelt es sich um Notebooks, die sich an entfernten Standorten oder unterwegs befinden; 4. ICH arbeite in meinem Büro immer mit einem normalen Benutzeraccunt. Benötige ich administrative Rechte, verbinde ich mich z.B. per RDP auf unseren DC. Dort arbeite ich als DOMÄNE\Administrator. 5. Alle User arbeiten als normale Benutzer. 6. Auf unseren Clients gibt es das Benutzerkonto DOMÄNE\Administrator. Dieses verwende ich nur, wenn ich auf den Rechnern administrative Arbeiten durchführen muss (was aber - wenn man sein Netzwerk eben entsprechend aufgebaut /gepflegt hat - nur sehr selten vorkommt). Ändere ich nun das Passwort für den Domänen-Admin im AD, so ist dies den Notebooks erstmal egal - sie cachen ja das neue Passwort erst wieder, wenn eine Anmeldung von einem Client aus erfolgt. Was meint ihr zur Konstellation? Würdet ihr auf den Clients die Profile des Domänen-Admins löschen und stattdessen mit lokalen Admin-Konten arbeiten? Bin auf Eure Meinung gespannt. Canni Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 Um administrative arbeiten an einem Client durchzuführen, arbeiten wir maximal mit dem lokalen Adminkonto. Für mich ist Grund ersichtlich, dass man ein Domänenadminkonto dafür benötigt. Ich lasse mich aber gerne mit stichhaltigen Argumenten von dem Gegenteil überzeugen. Frank Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 15. Juni 2009 Melden Teilen Geschrieben 15. Juni 2009 Hall, ich kann den Sinn dieses Benutzerkontos DOMÄNE\Administrator nicht erkennen. Ich möchte mal nachfragen, wo existierte dieses Konto, in der lokalen Benutzerverwaltung der Clients oder ist dieses Konto lediglich in der in der Gruppe der Administratoren aufgeführt? Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 15. Juni 2009 Autor Melden Teilen Geschrieben 15. Juni 2009 Nun, damit meine ich den Domänen-Administator. Der Vorteil liegt eben darin, dass ich ausschließlich Domänen-Benutzer verwende und keine lokalen. Würdet ihr also in Zukunft keine Administration mehr mit dem Domänen-Administrator durchführen auf den Clients, sondern nur noch mit lokalen-Admin-Konten arbeiten? Dass es das Domänen-Admin-Konto weiterhin gibt, ist klar. Zitieren Link zu diesem Kommentar
robotto7831a 10 Geschrieben 16. Juni 2009 Melden Teilen Geschrieben 16. Juni 2009 Der Domänenadministrator liegt ganz unten in der Schublade und wird nur im Notfall oder für wirkliche administrative Aufgaben direkt an der Domäne geholt und verwendet. Frank Zitieren Link zu diesem Kommentar
Canni 11 Geschrieben 16. Juni 2009 Autor Melden Teilen Geschrieben 16. Juni 2009 Ok. Wie administriert ihr dann z.B. Eure(n) Server? Oder meldet ihr Euch dort auch als "normaler" User an? Aber nochmal zu den Clients: verwendet ihr dort wirklich LOKALE Konten oder Domänen-Konten mit wenigen Rechten? Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 16. Juni 2009 Melden Teilen Geschrieben 16. Juni 2009 Moin, du definierst eine Gruppe "Desktop-Admins" und fügst diese per GPO den lokalen Admins deiner Clients hinzu. In diese Gruppe kommen die SUpport-Userkonten, die sonst keine weiteren administrativen Mitgliedschaften haben. Auf einem Desktop braucht man keine Domänen-Adminrechte. Die braucht man, wenn man die Domäne (also AD) verwalten muss. Das vordefinierte Administrator-Konto ist tabu. Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.