yosei12
Goto Top

Ehemaliger Domänenadministrator hat noch lokale Rechte

Hallo in die Runde,

ich hab folgendes Problem:

Wir haben in der Firma unsere Domäne umgestellt und dabei habe ich meinen Kollegen als Domänenadministrator eingesetzt, damit dieser an den User Rechnern vorab einige Sachen installieren konnte.

Das Problem an der ganzen Sache ist, dass dieser Kollege jetzt, obwohl ich ihn wieder aus der Gruppe der Domänenadministratoren entfernt habe, immer noch die administrativen Rechte auf den lokalen Clients nutzen kann und zwar mit altem Passwort.
Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?

Danke für eure Antwort.

Content-Key: 283514

Url: https://administrator.de/contentid/283514

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: Pjordorf
Pjordorf 21.09.2015 aktualisiert um 16:44:58 Uhr
Goto Top
Hallo,

Zitat von @Yosei12:
auf den lokalen Clients nutzen kann und zwar mit altem Passwort.
Ist das denn nicht sinn einer Domäne? Da wirst du um eine Änderung des Passworts für dein Domänenadmin nicht umhin kommen.

Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?
Ändere das Passwort für den Domänenadmin. Der sollte für das Arbeiten sowie zur Einrichtung eh nicht genutzt werden, dazu legt man sich einen neuen User an. Und vergiss nicht die dienste welche mit deinen Domänenadmin nun laufen tun...

Gruß,
Peter
Mitglied: Yosei12
Yosei12 21.09.2015 um 17:09:13 Uhr
Goto Top
Das Passwort wurde bereits geändert und trotzdem kann sich der ehemalige Admin mit dem alten Passwort einloggen.

Welche Dienste meinst du?
Mitglied: Pjordorf
Pjordorf 21.09.2015 um 19:13:21 Uhr
Goto Top
Hallo,

Zitat von @Yosei12:
Das Passwort wurde bereits geändert und trotzdem kann sich der ehemalige Admin mit dem alten Passwort einloggen.
Am Konto des Domänenadmin, ohne das LAN Kabel vorher zu ziehen? Dann nutzt er ein anderes Konto oder hat sich lokal in der Gruppe der Administratoren.... Hat der sich Lokal ein anderes Konto dazu eingerichtet? Welche gespeicherten Passwörter gibt es bei den Benutzern und in dessen Profile?

Die Rechner wurden ja schon neu gestartet oder?

Und wenn ein Domänenkonto verwendet wird und er ist nicht mehr Mitglied der Domänenadmins kommt er nur noch mit den Rechten daher welche du ihm gegeben hast. Um am Client eben als nicht mehr Mitglied der Domänenadmins betrachtet zu werden ist ein Abmelden des angemeldeten Benutzer zwingend. In welche lokalen Gruppen hat er sich den eingetragen?

Will er zwischengespeicherte Passwörter nutzen geht es nur wenn er das LAN Kabel vorher zieht und es keine Anfrage am DC geben sollte... Was genau tut er?

Welche Dienste meinst du?
Die Dienste.

Gruß,
Peter
Mitglied: 108012
108012 21.09.2015 um 20:04:57 Uhr
Goto Top
Hallo,

Wir haben in der Firma unsere Domäne umgestellt und dabei habe ich meinen Kollegen als
Domänenadministrator eingesetzt, damit dieser an den User Rechnern vorab einige Sachen
installieren konnte.
Also einen extra Domainadmin Account angelegt?

immer noch die administrativen Rechte auf den lokalen Clients nutzen kann und
zwar mit altem Passwort.
und ein neues Passwort setzen funktioniert nicht?

Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?
Den alten "nur" Domainenadmin Account deaktivieren (falls ein extra Konto angelegt wurde)
und/oder das Passwort dann ändern.

Gruß
Dobby
Mitglied: Yosei12
Yosei12 22.09.2015 um 09:59:00 Uhr
Goto Top
Ursprüngliche Situation:
User: ABC
Mitglied von : Domänenbenutzer, Sicherheitsgruppe 1, Sicherheitsgruppe 2,Domänenadministratoren
PW: 1234

Damit wurden auf den Clients die Änderungen durchgeführt.

Neue Situation:
User: ABC
Mitglied von : Domänenbenutzer, Sicherheitsgruppe 1, Sicherheitsgruppe 2
Neues PW: 4321

=> User ABC kann mit PW 1234 auf den Clients (alle wurden mehrfach neugestartet und das Netzwerkkabel ist auch eingesteckt) immer noch Änderungen durchführen.

Ich hoffe damit ist die Situation etwas klarer dargestellt.

@peter
Danke für den coolen Tipp mit den Diensten.
Mitglied: emeriks
emeriks 22.09.2015 um 12:00:20 Uhr
Goto Top
Hi,
die Sache scheint klar:
Der Client hat keinen Kontakt zur Domäne und kann die Informationen nicht aktualisieren. Dadurch kann sich der Kollege immer noch mit zwischengespeicherten Anmeldedaten an diesem Client anmelden.
Warum der Client keinen Kontakt zur Domäne hat, musst Du rausfinden.
LAN wird es ja nicht sein, das hättest Du bereits rausgefunden. Es sei denn, er ist so clever, und zieht jedesmal bei Anmeldung das LAN-Kabel raus bzw. deaktiviert WLAN. Das "simuliert" sozusagen ein Notebook, welches gerade mobil unterwegs ist und keinen Kontakt zur Domäne hat.
Bliebe noch DNS. Das hättest Du sicher auch schon bemerkt, weil dann diverse Zugriffe nicht funktionieren würden.
Das Computerkonto ist nicht mehr aktuell? z.B. weil es von einem anderen Client okkupiert wurde, oder weil das Passwort zurückgesetzt wurde. Dadurch kann der Client selbst nicht mehr auf die Domäne zugreifen. Aber auch dann müssetn andere Probleme beim Zugriff auf diverse Ressourcen auftreten.

E.