Jump to content

kbrgtr pw Änderung ohne Folgen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin

 

ich muss die Kennwortänderung für der Kbrgtr account durchführen. Die letzte Änderung ist zu lange her, wir müssen den jetzt alle 30 Tage erneuern wegen Compliance.

Normalerweise sehe ich da kein Problem drin, ich ändere das Kennwort ....warte auf die Replikation und ändere dann nochmal. Was mich jetzt grad blockt ist die Tatsache das mit dem Account ja alle Token verschlüsselt werden.

Die Token werden on the fly neu erstellt. Ich hab diverse service account die per oauth API aufs AD zugreifen aus anderen Systemen usw.

Was nicht passieren darf das irgendwelche Accounts dann erstmal aus irgendwelchen Gründen keine valides token bekommen und es kommt zu Unterbrechungen in der Produktion.

Die AD Helden im Forum hier wissen doch bestimmt welche Folgen das evtl. hat? Lauf ich Gefahr irgendeinen Account auszusperren den ich dann per quick fix wieder an der Start bringen muss oder ist es total unberechtigt das ich mir hier Sorgen mache?

 

Danke und Gruß

Link zu diesem Kommentar
vor 6 Minuten schrieb NorbertFe:

Wenn man zu schnell wechselt hat das eine re-Authentifizierung zur Folge. Nicht jedes System bekommt das sinnvoll hin. ;) im Zweifel einmal früh und dann zum Feierabend ein zweites Mal. Wenn’s kleine Umgebungen sind einfach testen.

Super Danke, Norbert.... für den zweiten Wechsel hab ich Zeit, das kann ich am nächsten Tag machen. Ich ändere das Passwort heute abend, und dann Freitag abend nochmal. Die Umgebung ist zu groß zum Testen.... leider. Das AD zieht sich quer über den Planeten. Daher frag ich lieber mal vorher, die MS Docs sind nett, sagen aber nix über evtl. Folgen aus und meine Recherche hat kaum was ergeben, also scheints folgenlos zu sein wenn man nicht zu hekitsch die zweite Änderung nach sich zieht.

Link zu diesem Kommentar

Moin,

 

die AD-Replikationszeit kann man messen, dazu hab ich vor Urzeiten mal mit einem MS-Mitarbeiter einen Artikel geschrieben. Ich guck mal, ob sich dazu noch was Zugängliches findet.

 

Edit: Ach guck, da isses.

[ADRepCheckLatency: AD-Replikationslatenz messen | faq-o-matic.net]
https://www.faq-o-matic.net/2009/09/30/adrepchecklatency-ad-replikationslatenz-messen/ 

 

Die Kennwort-Dopplung bei dem Account ist genau auf die Bedenken zurückzuführen, die du hast. Allzu lang solltest du zwischen den Wechseln aber nicht warten, denn wenn du wirklich jemanden im Netz hast, der mit Golden Tickets angreift, dann willst du dem ja keine Zeit geben, rechtzeitig zu reagieren.

 

Gruß, Nils

 

bearbeitet von NilsK
  • Like 1
  • Danke 1
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...