6
Active-Directory: Domänen-Administrator Kennwort ändern + Managed Service Accounts
Einen wunderschönen guten Morgen 
Knackige Frage:
Wir möchten bei einem Domänen-Admin-Konto das Kennwort ändern.
Alle Installationen in unserer IT-Struktur (u.a. Exchange & Co) wurden darüber realisiert.
Welche Schrauben muss ich nach der Änderung ggf. nachziehen? Könnt ihr da aus Erfahrung sprechen?
Weiterhin wäre interessant zu wissen, wie ihr mit dem Thema "Managed Service Accounts" umgeht.
Baut ihr euch für jede Art von Server (Applikationsserver, Groupwise, Archiv) jeweils administrative Accounts und trennt diese?
Unsere Struktur wächst und wir haben - frevelhafterweise - bisher alles über den og. Account mit Domain-Adminrechten verwaltet.
Das wollen wir ab sofort besser machen und ich hätte gerne ein paar Anregungen und vielleicht auch Links mit Best-Practice-Leitfaden, falls vorhanden.
Besten Dank und einen guten Start in den Tag
Knackige Frage:
Wir möchten bei einem Domänen-Admin-Konto das Kennwort ändern.
Alle Installationen in unserer IT-Struktur (u.a. Exchange & Co) wurden darüber realisiert.
Welche Schrauben muss ich nach der Änderung ggf. nachziehen? Könnt ihr da aus Erfahrung sprechen?
Weiterhin wäre interessant zu wissen, wie ihr mit dem Thema "Managed Service Accounts" umgeht.
Baut ihr euch für jede Art von Server (Applikationsserver, Groupwise, Archiv) jeweils administrative Accounts und trennt diese?
Unsere Struktur wächst und wir haben - frevelhafterweise - bisher alles über den og. Account mit Domain-Adminrechten verwaltet.
Das wollen wir ab sofort besser machen und ich hätte gerne ein paar Anregungen und vielleicht auch Links mit Best-Practice-Leitfaden, falls vorhanden.
Besten Dank und einen guten Start in den Tag
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 661135
Url: https://administrator.de/contentid/661135
Printed on: April 29, 2024 at 09:04 o'clock
6 Comments
Latest comment
Einen wunderschönen guten Morgen
MoinKnackige Frage:
Wir möchten bei einem Domänen-Admin-Konto das Kennwort ändern.
OkWir möchten bei einem Domänen-Admin-Konto das Kennwort ändern.
Alle Installationen in unserer IT-Struktur (u.a. Exchange & Co) wurden darüber realisiert.
Welche Schrauben muss ich nach der Änderung ggf. nachziehen? Könnt ihr da aus Erfahrung sprechen?
Wenn er nur für die reine Installation genutzt wurde, gibts keine Probleme. Aber wenn dieser User auch für Dienste hinterlegt ist, sieht die Sache schon ganz anders ausWelche Schrauben muss ich nach der Änderung ggf. nachziehen? Könnt ihr da aus Erfahrung sprechen?
Weiterhin wäre interessant zu wissen, wie ihr mit dem Thema "Managed Service Accounts" umgeht.
Baut ihr euch für jede Art von Server (Applikationsserver, Groupwise, Archiv) jeweils administrative Accounts und trennt diese?
Ja. Wir haben für fast jeden Dienst eigene User.Baut ihr euch für jede Art von Server (Applikationsserver, Groupwise, Archiv) jeweils administrative Accounts und trennt diese?
Beispiel:
- Veeam Service Account
- User für LDAP Druckeranbindung
- Service Account für Eset
Usw
Unsere Struktur wächst und wir haben - frevelhafterweise - bisher alles über den og. Account mit Domain-Adminrechten verwaltet.
Oh jeeBesten Dank und einen guten Start in den Tag
Danke gleichfalls
Zitat von @it-sin:
Weiterhin wäre interessant zu wissen, wie ihr mit dem Thema "Managed Service Accounts" umgeht.
Moin.Weiterhin wäre interessant zu wissen, wie ihr mit dem Thema "Managed Service Accounts" umgeht.
Die haben auch bei uns alle einen eigenen Account, wurden nach und nach umgestellt. Ist etwas Arbeit, deckt aber die ein oder andere (Wissens)Lücke auf.
Die Verwaltung der Accountdaten machen wir mit KeePass (kostenlos).
Auch von mir einen Guten Morgen
Jupp. Je Dienst ein neuer Service-Accounts für länger geplante Dienste. Du kannst mit Power-Shell Skripten sehr schön und schnell rausfinden auf welchem Server der Adminaccount hinterlegt ist. ist ne einzeilige Abfrage plus 1 Zeile für die OU bzw. die ganze Domäne. Dann umstellen und erst dann den Administrator ein neuen Kennwort geben. Auf Service-Accounts verzichte ich nur, wenn die Aufgabe irrelevant ist oder nur kurzfristig genutzt wird, also bei einer geplanten Aufgabe die 3 Wochen lang gemappte Drucker analysiert zum Beispiel.
Weiterhin wäre interessant zu wissen, wie ihr mit dem Thema "Managed Service Accounts" umgeht.
Baut ihr euch für jede Art von Server (Applikationsserver, Groupwise, Archiv) jeweils administrative Accounts und trennt diese?
Unsere Struktur wächst und wir haben - frevelhafterweise - bisher alles über den og. Account mit Domain-Adminrechten verwaltet.
Baut ihr euch für jede Art von Server (Applikationsserver, Groupwise, Archiv) jeweils administrative Accounts und trennt diese?
Unsere Struktur wächst und wir haben - frevelhafterweise - bisher alles über den og. Account mit Domain-Adminrechten verwaltet.
Jupp. Je Dienst ein neuer Service-Accounts für länger geplante Dienste. Du kannst mit Power-Shell Skripten sehr schön und schnell rausfinden auf welchem Server der Adminaccount hinterlegt ist. ist ne einzeilige Abfrage plus 1 Zeile für die OU bzw. die ganze Domäne. Dann umstellen und erst dann den Administrator ein neuen Kennwort geben. Auf Service-Accounts verzichte ich nur, wenn die Aufgabe irrelevant ist oder nur kurzfristig genutzt wird, also bei einer geplanten Aufgabe die 3 Wochen lang gemappte Drucker analysiert zum Beispiel.
ist ne einzeilige Abfrage plus 1 Zeile für die OU bzw. die ganze Domäne. Dann umstellen und erst dann den Administrator ein neuen Kennwort geben.
Hast du diese eine Zeile zufällig parat?
Hast du diese eine Zeile zufällig parat?
Auch den Service biete ich
Bei [Server] den oder die abzufragenden Server eintragen. Bei **[benutzer] den Benutzer. Es empfiehlt sich noch den PSComputername mit ausgeben zu lassen. Also zum Beispiel:
Listet dann auf welche Dienste auf den DC01, DC02, DC03 auf, die im Startname (das ist der Anmelden als) Administrator stehen haben.
Gruß
Doskias
Get-WmiObject win32_service -cn [Server] | Select-Object -Property DisplayName, StartName | ? Startname -like "*[Benutzer]*" Bei [Server] den oder die abzufragenden Server eintragen. Bei **[benutzer] den Benutzer. Es empfiehlt sich noch den PSComputername mit ausgeben zu lassen. Also zum Beispiel:
Get-WmiObject win32_service -cn DC01, DC02, DC03 | Select-Object -Property PsComputername,DisplayName, StartName | ? Startname -like "*administrator*" Listet dann auf welche Dienste auf den DC01, DC02, DC03 auf, die im Startname (das ist der Anmelden als) Administrator stehen haben.
Gruß
Doskias
2
Moin,
meinst du mit "Managed Service Accounts" wirklich (Group)Managed Service Accounts oder Benutzer die für Dienste "missbraucht" werden?!
Sind zwei paar Stiefel die unterschiedlich funktionieren und reagieren.
Gruß,
Dani
meinst du mit "Managed Service Accounts" wirklich (Group)Managed Service Accounts oder Benutzer die für Dienste "missbraucht" werden?!
Sind zwei paar Stiefel die unterschiedlich funktionieren und reagieren.
Gruß,
Dani
