4
AD Admin-Konten automatisch lokal cachen?
Hallo,
ich weiß leider nicht, ob das technisch, bzw. überhaupt aus Sicherheitsgründen machbar ist: Problem:
eine Windows 2012-AD-Domäne
Windows 7-Clients (Laptops)
auf diesen Laptops sollen sämtliche Admins einloggen können mit ihrem AD-Accounts, allerdings auch dann, wenn es noch nie einen Login gegeben hat auf diesem Rechnen.
Heißt im Klartext: die entsprechnde AD-Gruppe müsste sich automatisch, sobald einer dieser Laptop-Clients im Netz hängt, die Passwörter sämtlicher Admins cachen und diese nie wieder löschen. Ausnahme: das PW wird durch den betreffenden Admin selbst geändert, dann müsste das wieder am Client automatisch im Cache aktualisiert werden.
Wie gesagt: für mich faktisch ein Ding der Unmöglichkeit, da ja das gesamte Sicherheitskonzept darauf aufbaut, durch DCs erst authentifiziert zu werden und gecachte PWs von Admin-Konten mir ehrlich gesagt schlaflose Nächte bereiten.
Ach ja: der lokale Admin ist auf den Geräte ohnehin aus Sicherheitsgründen deaktiviert...
LG
ich weiß leider nicht, ob das technisch, bzw. überhaupt aus Sicherheitsgründen machbar ist: Problem:
eine Windows 2012-AD-Domäne
Windows 7-Clients (Laptops)
auf diesen Laptops sollen sämtliche Admins einloggen können mit ihrem AD-Accounts, allerdings auch dann, wenn es noch nie einen Login gegeben hat auf diesem Rechnen.
Heißt im Klartext: die entsprechnde AD-Gruppe müsste sich automatisch, sobald einer dieser Laptop-Clients im Netz hängt, die Passwörter sämtlicher Admins cachen und diese nie wieder löschen. Ausnahme: das PW wird durch den betreffenden Admin selbst geändert, dann müsste das wieder am Client automatisch im Cache aktualisiert werden.
Wie gesagt: für mich faktisch ein Ding der Unmöglichkeit, da ja das gesamte Sicherheitskonzept darauf aufbaut, durch DCs erst authentifiziert zu werden und gecachte PWs von Admin-Konten mir ehrlich gesagt schlaflose Nächte bereiten.
Ach ja: der lokale Admin ist auf den Geräte ohnehin aus Sicherheitsgründen deaktiviert...
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 307104
Url: https://administrator.de/contentid/307104
Printed on: April 26, 2024 at 23:04 o'clock
4 Comments
Latest comment
Hi.
Machbar ist alles, auch das mit einigem Aufwand, aber das ist definitiv in keinstem Fall sinnvoll und absoluter Schwachsinn wie du auch schon angemerkt hast!
Gruß skybird
Wie gesagt: für mich faktisch ein Ding der Unmöglichkeit,
Genau, und das sollte man denen die solch einen Unfug vorhaben auch mit einem Betonklotz um den Hals hängen damit sie merken was für einen Unsinn sie da vorhaben.Machbar ist alles, auch das mit einigem Aufwand, aber das ist definitiv in keinstem Fall sinnvoll und absoluter Schwachsinn wie du auch schon angemerkt hast!
Gruß skybird
Hi.
Ich schließe mich an: was für ein Blödsinn. Wer will das und wozu?
Gecachte Adminkennwörter gehören nicht auf Nutzerrechner. Und wenn ein Admin offline rauf muss, dann braucht das nicht sein persönliches Adminkonto zu sein, sondern es reicht, bei Bedarf den eingebauten Admin zu aktivieren (per Boot-CD oder utilman.exe-Trick). Ich sehe überhgaupt keinen Anwendungsfall für das Geforderte.
Erhelle uns mal, bitte.
Ich schließe mich an: was für ein Blödsinn. Wer will das und wozu?
Gecachte Adminkennwörter gehören nicht auf Nutzerrechner. Und wenn ein Admin offline rauf muss, dann braucht das nicht sein persönliches Adminkonto zu sein, sondern es reicht, bei Bedarf den eingebauten Admin zu aktivieren (per Boot-CD oder utilman.exe-Trick). Ich sehe überhgaupt keinen Anwendungsfall für das Geforderte.
Erhelle uns mal, bitte.
Hallo,
danke erstmal für die Kommentare. Ich kenne leider auch keinen echten Anwendungsfall, ist aber so verlangt seitens der IT-Leitung und nachdem die Burschen da drin bisher immer alles korrekt gemacht haben, wird das mit Sicherheit auch irgendeinen tieferen Sinn ergeben - nur fehlt mir dazu noch die Erleuchtung.
LG
danke erstmal für die Kommentare. Ich kenne leider auch keinen echten Anwendungsfall, ist aber so verlangt seitens der IT-Leitung und nachdem die Burschen da drin bisher immer alles korrekt gemacht haben, wird das mit Sicherheit auch irgendeinen tieferen Sinn ergeben - nur fehlt mir dazu noch die Erleuchtung.
LG
Gib mir mal die Adresse der sogenannten "IT-Um-Leitung", damit ich denen ein Furzkissen zuschicken kann 
Da wird wohl einer eins gegen seine Birne bekommen haben.
Werf denen mal den Begriff "Mimikatz & Co." an den Kopf .... Kommt nur ein Gerät abhanden oder jemand versucht sich aus Neugier mit den Tools, sind auf einmal alle eure Admin-Konten kompromitiert!!
Es gibt gute Gründe das sich bestimmte Admin-Konten nur auf vertrauenswürdigen zur Verwaltung gedachten Maschinen anmelden dürfen.
Um Maschinen lokal zu verwalten reicht ein auf dem Gerät lokales Adminkonto.
Da wird wohl einer eins gegen seine Birne bekommen haben.
Werf denen mal den Begriff "Mimikatz & Co." an den Kopf .... Kommt nur ein Gerät abhanden oder jemand versucht sich aus Neugier mit den Tools, sind auf einmal alle eure Admin-Konten kompromitiert!!
Es gibt gute Gründe das sich bestimmte Admin-Konten nur auf vertrauenswürdigen zur Verwaltung gedachten Maschinen anmelden dürfen.
Um Maschinen lokal zu verwalten reicht ein auf dem Gerät lokales Adminkonto.