Zugriff auf Domainecontroller bei Netzwerkausfall sicherstellen mit Protected user aber wie ?

[goat82 2]

Hallo Zusammen,

 

unsere Domainadministratoren sind Mitglieder der Protected Gruppe also können Sie kein NTLM und es werden auch keine Passwörter auf den Server gecached.

Lokale Konten gibt es am DC ja nicht.

 

Ist das Netzwerk nun tot, wie kann man sich dann am DC noch anmelden ?

Die Administratoren sind Member der AD\Buildin\Administratorengruppe aber das hilft ja wenig wenn die User Member der Protected Usergruppe sind.

 

Habe ich einen Denkfehler ?

Aus Sicherheitsgründen haben wir einen einzigen Domainenadmin welcher kein Protected User ist. Hier müsste man aber mal sich alle paar Wochen an den DCs anmelden damit das Kennwort gecacht bleibt und der Zugriff sichergestellt werden kann.

 

Gerne hätte ich hier eine andere Lösung mit 100% Protected User aller Domainenadmins oder zumindest die Gewissheit wie man sich an den DCs anmelden kann wenn kein Netzwerk besteht.

 

Vielen Dank für euren Rat

 

Lg Goat

 

 

bearbeitet Mittwoch um 15:11 von goat82

[cj_berlin 1.350]

Moin,
 

klar können sie sich lokal anmelden, wenn sie aus derselben Domäne sind. Der DC kennt ja deren Kennwörter...

[goat82 2]

Wie soll das gehen ? Anstatt Domainadminuser@Domaine.com  Domaincontrollername\Domainadminuser ? Falls ja das funktioniert nicht.

bearbeitet Mittwoch um 15:15 von goat82

[NorbertFe 2.100]

vor 8 Minuten schrieb goat82:

Anstatt Domainadminuser@Domaine.com  Domaincontrollername\Domainadminuser ? Falls ja das funktioniert nicht.

Nein, wieso sollte man das so tun? am DC kannst du sowieso nur als Domainuser anmelden, denn es gibt ja eben keine nicht Dom-User. Abgesehen vom Wiederherstellungsmodus.

[goat82 2]

Ich glaube ich habe mich falsch ausgedruckt. Das AD hat 1000 Domainuser. Davon haben 10 Domainadminrechte. Es gibt 5 Domaincontroller und 10 RO Domaincontroller.

Wenn alle 10 Domainadministratoren in der Protected Usergruppe sind und das Netzwerk wegfällt wie kann man sich dann an den Domaincontroller anmelden ?

Es können sich ja nur Domaineadministratoren auf den Domainecomputer anmelden und wenn das Netzwerk weg ist und die Passwörter nicht gecached werden wegen der Protected Usergruppe, wie soll das gehen ?

 

Oder betrifft das ganze mit dem Passwortcache nur RDP Anmeldungen ? Falls ja dann könnte man auch ohne Netzwerk sich am DC über die Console (Idrac oder Vsphere) als Protected User anmelden ?
 

 

[cj_berlin 1.350]

vor 21 Minuten schrieb goat82:

Wie soll das gehen ? Anstatt Domainadminuser@Domaine.com  Domaincontrollername\Domainadminuser ? Falls ja das funktioniert nicht.

Hier funktioniert's. Frisches Account angelegt, Domain Admins + Protected Users. Kabel von DC abgezogen, rebooted, lokale Anmeldung funktioniert. Aber natürlich nur lokal. RDP ist nicht lokal, und RDP schließt sich mit "kein Netzwerk" auch gegenseitig aus.

bearbeitet Mittwoch um 15:35 von cj_berlin

[goat82 2]

Ok. Mit lokal anmelden meinst du da einfach an der Domaine ohne Netzwerk anmelden oder wirklich lokal mit dem Domainenuser über Domaincontrollername\Domainuser. Lokale KOnten gibts ja nicht am DC

[Dukel 457]

vor 29 Minuten schrieb goat82:

Es können sich ja nur Domaineadministratoren auf den Domainecomputer anmelden und wenn das Netzwerk weg ist und die Passwörter nicht gecached werden wegen der Protected Usergruppe, wie soll das gehen ?

 

Oder betrifft das ganze mit dem Passwortcache nur RDP Anmeldungen ? Falls ja dann könnte man auch ohne Netzwerk sich am DC über die Console (Idrac oder Vsphere) als Protected User anmelden ?

 

Auf einem DC müssen keine Kennwörter gecached werden, da die AD DB vorhanden ist.

Das Caching betrifft nur Clients & Server aber keine DC's.

[Nobbyaushb 1.487]

vor 2 Minuten schrieb goat82:

Ok. Mit lokal anmelden meinst du da einfach an der Domaine ohne Netzwerk anmelden oder wirklich lokal mit dem Domainenuser über Domaincontrollername\Domainuser. Lokale KOnten gibts ja nicht am DC

Nein, mit Domain\User oder User@Domain.local

Der Server ist Wurst…

[cj_berlin 1.350]

vor 6 Minuten schrieb goat82:

Ok. Mit lokal anmelden meinst du da einfach an der Domaine ohne Netzwerk anmelden oder wirklich lokal mit dem Domainenuser über Domaincontrollername\Domainuser. Lokale KOnten gibts ja nicht am DC

ich meine auf einem schreibbaren Domain Controller lokal ohne Netzwerk mit einem Admin, der in Protected Users ist, anmelden.

[goat82 2]

Ok verstanden, vielen Dank. Was ist aber auf einem RO DC ?

[NorbertFe 2.100]

vor einer Stunde schrieb goat82:

unsere Domainadministratoren sind Mitglieder der Protected Gruppe also können Sie kein NTLM und es werden auch keine Passwörter auf den Server gecached.

 

vor 12 Minuten schrieb goat82:

Was ist aber auf einem RO DC ?

Was spricht gegen einen einfachen Test? Da du ja sicherlich nicht die Adminkonten auf die RODCs replizieren läßt, dürfte klar sein, was im Falle eines Netzwerkausfalls am RODC passiert. ;)

bearbeitet Mittwoch um 16:23 von NorbertFe

[cj_berlin 1.350]

ABER - für RODCs kannst Du ein Konto cachen, das Du dann im managedBy-Attribut des RODC Computer-Objekts hinterlegst. Dieser User kann dann den RODC administrieren.

[NorbertFe 2.100]

Ja, aber dafür würde man keinen Domain Admin nutzen ;)

[cj_berlin 1.350]

Korrekt. Nützt auf dem RODC ohne Netz eh nix