cnurti 0 Geschrieben 7. Mai 2020 Melden Teilen Geschrieben 7. Mai 2020 Ich habe was geerbt: Ein kleines Büro, mit einer mini Domäne für 6 Rechner. Der einzige DC wurde vor meiner Zeit ausgeschaltet. Kommt auch nicht wieder, es wird keine Domäne mehr geben. 6 PCs melden sich also mit gecachten Domänen Benutzerkonten Daten an. Das läuft auch noch stabil. Ist für mich aber kein Zustand, dort müssen normale lokale Konten sauber neu angelegt werden. Ooooder? Ich such mir den Wolf nach einer schriftlichen Quelle zu dem konkreten Langzeit Risiko, also wenn man sich dauerhaft mit seinem gecachten Domänen Konto anmeldet. Was könnte denn passieren? Vielleicht eine Passwort Erneuerung aus alten GPOs die dann zwingend einmal mit dem DC kommunizieren wollen? Vielleicht nutze ich die falschen Suchbegriffen. Es gibt sehr viele Anleitungen für den umgekehrten Fall, verwaiste Konten aus dem DC zu löschen oder einen ausgefallenen DC einfach zu ersetzen usw... Ich möchte aber ein paar Bad Case/Worst Case Infos an die Leute geben, damit sie verstehen, warum überhaupt Aufwand betrieben wird. Vielleicht übertreibe ich ja auch und bekomme ein "Lass doch laufen" als Antwort. Freue mich auf Antworten.. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 7. Mai 2020 Melden Teilen Geschrieben 7. Mai 2020 vor 4 Minuten schrieb cnurti: Ich such mir den Wolf nach einer schriftlichen Quelle zu dem konkreten Langzeit Risiko, also wenn man sich dauerhaft mit seinem gecachten Domänen Konto anmeldet. Das Langzeitrisiko ist, dass du das Kennwort nie ändern kannst. 1 Zitieren Link zu diesem Kommentar
cnurti 0 Geschrieben 7. Mai 2020 Autor Melden Teilen Geschrieben 7. Mai 2020 vor 1 Minute schrieb NorbertFe: Das Langzeitrisiko ist, dass du das Kennwort nie ändern kannst. Ja, ein Punkt, wichtig, Danke! - betrifft aber erstmal nicht die Stabilität oder die Gefahr sich irgendwann nicht mehr anmelden zu können. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 7. Mai 2020 Melden Teilen Geschrieben 7. Mai 2020 Ja da gibts ja auch keins. Im umkehrschluss lässt sich so ein Konto aber nie sperren, also steht einer bruteforce Attacke wenig im Weg. Aber das gilt ja für viele offline Geräte. 1 Zitieren Link zu diesem Kommentar
cnurti 0 Geschrieben 7. Mai 2020 Autor Melden Teilen Geschrieben 7. Mai 2020 100%? Da kommt nicht irgendwann ein schwurbeliges Windows 10 Update um die Ecke, dass den DC Client mal auffordert doch mal wieder mit Daddy zu sprechen? Wäre ja schön wenn es so wäre. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 7. Mai 2020 Melden Teilen Geschrieben 7. Mai 2020 Moin, Nein. Wobei du alle realen Risiken für die Rechner ohnehin mit Backups abfedern musst. Wahrscheinlicher als irgendwelche Magie sind langweilige Ausfälle. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
Dukel 455 Geschrieben 7. Mai 2020 Melden Teilen Geschrieben 7. Mai 2020 Ich würde, wenn wirklich keine Domäne gewünscht ist, die Clients aus der Domäne nehmen und mit Lokalen Konten arbeiten. Wieso keine Domäne mehr? Zitieren Link zu diesem Kommentar
cnurti 0 Geschrieben 7. Mai 2020 Autor Melden Teilen Geschrieben 7. Mai 2020 vor 14 Minuten schrieb Dukel: Ich würde, wenn wirklich keine Domäne gewünscht ist, die Clients aus der Domäne nehmen und mit Lokalen Konten arbeiten. Wieso keine Domäne mehr? Wäre sauber, ja, erfordert jedoch Zeit in der Einrichtung, deswegen war ich auf der Suche nach Argumenten die das Ganze bekräftigen. Auch für Laien. Passwort Sicherheit ist ein relativ stumpfes Schwert für viele...bis es knall... dass aber keine Anmeldung mehr möglich ist und von jetzt auf Knall neue lokale Konten mit einem Setup für die Spezialprogramme eingerichtet werden müssen... das zieht! Aber das Risiko scheint ja gemäß der Antworten hier nicht zu bestehen. Wie gesagt, vor meiner Zeit, war aber nie wichtig für die paar Kisten. Ganz bescheidene Umgebung im Grunde. Der DC wurde auch nicht gepflegt, machte nebenbei noch ein bissi Fileserver und lief auf SBS 2011 ... der Drops ist gelutscht. Zitieren Link zu diesem Kommentar
cnurti 0 Geschrieben 8. Mai 2020 Autor Melden Teilen Geschrieben 8. Mai 2020 Eine kleine Ergänzung habe ich selbst. Auf den Clients können wohl keine Updates mehr installiert werden. Die Suche schlägt fehlt, bzw. wird verweigert. Jedenfalls nicht unterm Domänen Benutzerkonto. Ich habe noch nicht probiert, ob es mit einer lokalen Anmeldung funktioniert. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Schau doch in der Registry nach ob etwas an der Stelle drin steht: [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate] Wenn ja, löschen, %windir%\SoftwareDistribution ebenfalls löschen, Reboot und 10 Minuten warten, jetzt manuell nach Updates suchen lassen. Zitieren Link zu diesem Kommentar
mike2707 0 Geschrieben 8. Mai 2020 Melden Teilen Geschrieben 8. Mai 2020 Etwas OT: Wenn es ums Geld geht, warum kein neuer DC kommen sollte, kann ich dir den Tipp geben. https://www.univention.de/produkte/preise/ucs-core-edition/ Das Produkt spannt mit Samba ein openLDAP auf, wo du deine Windows Rechner einbinden kannst. Gruß Mike Zitieren Link zu diesem Kommentar
Squire 265 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 Off topic2 Wenn alle Stricke reißen... Eine Qnap oder Synology nehmen... Zentrale Datenablage (lässt sich sicherlich verargumentieren)... Die können mittlerweile alle eine Samba AD Domain... Als Member bzw. Master (DC) Zitieren Link zu diesem Kommentar
Nobbyaushb 1.475 Geschrieben 11. Mai 2020 Melden Teilen Geschrieben 11. Mai 2020 Am 7.5.2020 um 18:27 schrieb cnurti: Ich habe was geerbt: Ein kleines Büro, mit einer mini Domäne für 6 Rechner. Der einzige DC wurde vor meiner Zeit ausgeschaltet. Kommt auch nicht wieder, es wird keine Domäne mehr geben. Sogar für 3 Rechner würde ich eine Domäne bevorzugen, aber die Entscheidung ist ja scheinbar schon gefallen. Die hat jemand getroffen, der keine Ahnung von Active Directory hat - meine Meinung. My2Cents Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.