7
Administratorkennwort für Domäne sowie Lokal ändern .... sehr sehr....viele Fragen
Mahlzeit liebe Kollegen,
auch nach ausgiebiger Suchfunktion in diesem Forum sowie unter Google komm ich nicht auf einen grünen Zweig. Folgende Problematik:
Wir haben vor, das Kennwort des Domänenadministrators sowie der lokalen Administratoren zu ändern. Wir arbeiten mit Windows 2003
und Windows 2008 Servern. Anschließend soll eine Kennwortrichtlinie für das gesamte Netzwerk gesetzt werden, sodass Domänenbenutzer dazu
verpflichtet sind alle 90 Tage ihr Kennwort zu ändern. Dadurch habe ich jetzt 3 Anlaufschwierigkeiten, ich muss auch ehrlich gestehen so einen
Schritt habe ich noch nicht gewagt *g*:
1. Wie bekomme ich am schnellsten heraus welche Anmeldungen uns Probleme bereiten könnten (z.B. Dienstkonten oder Konten die für geplante
Tasks verwendet werden oder Anmeldungen die evtl. in Fremdsoftware mit eingreifen??) Leider ist das Netz von meinem Vorgänger nicht so sauber gepflegt worden
und wir haben keinerlei Übersicht wo welche Domänenanmeldung evtl. reingreifen könnte.
2. Können uns die Dienstkosten NT AUTHORITY\NetworkService und NT AUTHORITY\LocalService nach einer Kennwortänderung bzw. greifender
Kennwortrichtlinie Probleme bereiten? Wie gesagt das ist für mich leider noch etwas Neuland
3. Gibt es dann die Möglichkeit Dienstkonten oder Administratoren-Konten aus der Kennwortrichtlinie auszuschließen? Ich muss dazu sagen wir haben
eine Windows Server 2003 Gesamtstruktur.
Vielen vielen Dank für eure Antworten schonmal im Voraus !
Viele Grüße
tunichtgut82
Wir haben vor, das Kennwort des Domänenadministrators sowie der lokalen Administratoren zu ändern. Wir arbeiten mit Windows 2003
und Windows 2008 Servern. Anschließend soll eine Kennwortrichtlinie für das gesamte Netzwerk gesetzt werden, sodass Domänenbenutzer dazu
verpflichtet sind alle 90 Tage ihr Kennwort zu ändern. Dadurch habe ich jetzt 3 Anlaufschwierigkeiten, ich muss auch ehrlich gestehen so einen
Schritt habe ich noch nicht gewagt *g*:
1. Wie bekomme ich am schnellsten heraus welche Anmeldungen uns Probleme bereiten könnten (z.B. Dienstkonten oder Konten die für geplante
Tasks verwendet werden oder Anmeldungen die evtl. in Fremdsoftware mit eingreifen??) Leider ist das Netz von meinem Vorgänger nicht so sauber gepflegt worden
und wir haben keinerlei Übersicht wo welche Domänenanmeldung evtl. reingreifen könnte.
2. Können uns die Dienstkosten NT AUTHORITY\NetworkService und NT AUTHORITY\LocalService nach einer Kennwortänderung bzw. greifender
Kennwortrichtlinie Probleme bereiten? Wie gesagt das ist für mich leider noch etwas Neuland
3. Gibt es dann die Möglichkeit Dienstkonten oder Administratoren-Konten aus der Kennwortrichtlinie auszuschließen? Ich muss dazu sagen wir haben
eine Windows Server 2003 Gesamtstruktur.
Vielen vielen Dank für eure Antworten schonmal im Voraus !
Viele Grüße
tunichtgut82
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 182652
Url: https://administrator.de/contentid/182652
Printed on: April 25, 2024 at 11:04 o'clock
7 Comments
Latest comment
Moin,
Cheers,
jsysde
3. Gibt es dann die Möglichkeit Dienstkonten oder Administratoren-Konten aus der Kennwortrichtlinie auszuschließen? Ich
muss dazu sagen wir haben
Du kannst in den Eigenschaften _jedes_ Benutzerkontos im AD den Haken bei "Kennwort läuft nicht" setzen.muss dazu sagen wir haben
Cheers,
jsysde
Moin,
zu 2. Finger weg!!
Gruß
24
zu 2. Finger weg!!
Gruß
24
Ihr seit ja schneller als die Polizei erlaubt, vielen Dank @2hard4you manuell werden wir an diesen Konten nichts ändern, ich werde mich hüten Frage ist halt nur hat die Adminkennwortänderung und die
Kennwortrichtlinie auf diese zwei Anmeldungen irgendwelche Auswirkungen?
Gruß
tunichtgut82
@2hard4you manuell werden wir an diesen Konten nichts ändern, ich werde mich hüten Frage ist halt nur hat die Adminkennwortänderung und dieKennwortrichtlinie auf diese zwei Anmeldungen irgendwelche Auswirkungen?
Gruß
tunichtgut82
Zitat von @tunichtgut82:
Ihr seit ja schneller als die Polizei erlaubt, vielen Dank @2hard4you manuell werden wir an diesen Konten nichts ändern,
ich werde mich hüten Frage ist halt nur hat die Adminkennwortänderung und die
Kennwortrichtlinie auf diese zwei Anmeldungen irgendwelche Auswirkungen?
Ihr seit ja schneller als die Polizei erlaubt, vielen Dank
@2hard4you manuell werden wir an diesen Konten nichts ändern,ich werde mich hüten
Frage ist halt nur hat die Adminkennwortänderung und dieKennwortrichtlinie auf diese zwei Anmeldungen irgendwelche Auswirkungen?
nein, sind Systemaccounts.
zu 1. - Du kannst über den Consolenbefehl sc die Dienste der Server anzeigen lassen, auch unter welchem Account sie laufen und dort ggf. gegensteuern.
Das lokale Adminpasswort kannst Du per GPO ändern.
Gruß
24
Ah ok super dann brauchen wir uns keine Sorgen machen und die Anmeldungen auf unseren Systemen sollten wir dann dementsprechend
schnell herausfinden. Gibt es eigentlich sonst noch Punkte die man beachten sollte bei diesem Vorhaben? Es gibt garantiert ein paar unter euch die so
eine Prozedur schonmal durchführen mussten
Viele Grüße
tunichtgut82
schnell herausfinden. Gibt es eigentlich sonst noch Punkte die man beachten sollte bei diesem Vorhaben? Es gibt garantiert ein paar unter euch die so
eine Prozedur schonmal durchführen mussten
Viele Grüße
tunichtgut82
Moin.
Zu 1): Verschaff Dir den Überblick, der Dir fehlt: Lies die Taskkonten und Dienstkonten mit Skripten aus - evtl. danach "abrüsten" - in seltenen Fällen ist es überhaupt nötig, hier Nutzer zu nehmen - meistens reicht das Konto "System", für das das Kennwort leer bleibt.
Zu 2): Nein, brauchen nicht berührt werden, keine Sorge.
3) Nein, mit 2003er AD nicht, erst mit 2008 AD und höher. Abgesehen davon: siehe jsysde, was die Ablaufdauer angeht.
PS: lokale Adminkonten würde ich nicht nutzen, lieber deaktivieren (und sogar überwachen, ob es aktviert wurde).
Zu 1): Verschaff Dir den Überblick, der Dir fehlt: Lies die Taskkonten und Dienstkonten mit Skripten aus - evtl. danach "abrüsten" - in seltenen Fällen ist es überhaupt nötig, hier Nutzer zu nehmen - meistens reicht das Konto "System", für das das Kennwort leer bleibt.
Zu 2): Nein, brauchen nicht berührt werden, keine Sorge.
3) Nein, mit 2003er AD nicht, erst mit 2008 AD und höher. Abgesehen davon: siehe jsysde, was die Ablaufdauer angeht.
PS: lokale Adminkonten würde ich nicht nutzen, lieber deaktivieren (und sogar überwachen, ob es aktviert wurde).
Hallo Zusammen,
super ihr seits echt spitze! Einen Überblick habe ich mir bereits verschaffen können. Es sind glücklicherweise doch nicht so viele Problemstellen vorhanden
Dann mal los
Viele Grüße
tunichtgut82
super ihr seits echt spitze! Einen Überblick habe ich mir bereits verschaffen können. Es sind glücklicherweise doch nicht so viele Problemstellen vorhanden
Dann mal los
Viele Grüße
tunichtgut82
