15
Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADC
Hallo Forengemeinde!
Domäne mit WinSRV2016 und EX2016
Ich möchte das Kennwort meines Domänen-Admins ("Administrator") ändern.
Entweder ändere ich das PW direkt oder aber, das habe ich als Tippp gelesen, ich erstelle mir ein weiteres Admin-Konto, in dem ich den alten "Administrator" kopiere und deaktiviere den alten "Administrator" dann ohne das PW zu ändern.
Im Fehlerfall könnte ich das Konto dann schnell wieder aktivieren.
Neben vielen anderen Dingen steht die Frage im Raum:
Hat das, also entweder die Kennwortänderung oder die Kontoaktivieirung
Auswirkungen auf Exchange?
Auswirkungen auf die Hybrid-Konfigration (HCW)?
Auswirkungen auf Azure AD Connect (Entra Connect)?
Bei HCW und AADC habe ich bei der Einrichtung zwar den lokalen Admin-Account benötigt, aber m.M.n. nur um "reinzukommen" und Rechte zu haben, in der lokalen Struktur Änderungen zu setzen.
Auch beim Exchange-Server sehe ich aktuell keine Auswirkungen.
...aber ich würde gerne eure Meinung/euer Wissen erfragen, denn viellecht übersehe ich ja auch was...
DANKE!
TJ
Domäne mit WinSRV2016 und EX2016
Ich möchte das Kennwort meines Domänen-Admins ("Administrator") ändern.
Entweder ändere ich das PW direkt oder aber, das habe ich als Tippp gelesen, ich erstelle mir ein weiteres Admin-Konto, in dem ich den alten "Administrator" kopiere und deaktiviere den alten "Administrator" dann ohne das PW zu ändern.
Im Fehlerfall könnte ich das Konto dann schnell wieder aktivieren.
Neben vielen anderen Dingen steht die Frage im Raum:
Hat das, also entweder die Kennwortänderung oder die Kontoaktivieirung
Auswirkungen auf Exchange?
Auswirkungen auf die Hybrid-Konfigration (HCW)?
Auswirkungen auf Azure AD Connect (Entra Connect)?
Bei HCW und AADC habe ich bei der Einrichtung zwar den lokalen Admin-Account benötigt, aber m.M.n. nur um "reinzukommen" und Rechte zu haben, in der lokalen Struktur Änderungen zu setzen.
Auch beim Exchange-Server sehe ich aktuell keine Auswirkungen.
...aber ich würde gerne eure Meinung/euer Wissen erfragen, denn viellecht übersehe ich ja auch was...
DANKE!
TJ
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669636
Url: https://administrator.de/forum/dom-admin-passwort-aendern-auswirkungen-auf-ex-hcw-aadc-669636.html
Ausgedruckt am: 22.12.2024 um 04:12 Uhr
15 Kommentare
Neuester Kommentar
Hi,
haben die genannten Punkte
Auswirkungen auf Exchange?
Auswirkungen auf die Hybrid-Konfigration (HCW)?
Auswirkungen auf Azure AD Connect (Entra Connect)?
auch und ändern unser Dom-Admin-PW regelmäßig ohne Probleme.
LG
mininik
haben die genannten Punkte
Auswirkungen auf Exchange?
Auswirkungen auf die Hybrid-Konfigration (HCW)?
Auswirkungen auf Azure AD Connect (Entra Connect)?
auch und ändern unser Dom-Admin-PW regelmäßig ohne Probleme.
LG
mininik
Moin.
Das Einzige, was du fürchten musst, ist, dass dieses Konto für Dienstanmeldung und für geplante Tasks als ausführendes Konto genutzt worden ist. Wenn Du da keine Übersicht hast, würde ich von der Änderung absehen bevor du dir diese Übersicht geholt hast.
Im Fehlerfall könnte ich das Konto dann schnell wieder aktivieren.
Ziemlicher Humbug, dieser Tipp. Im Fehlerfall setzt Du natürlich das Kennwort wieder zurück auf den vorigen Wert. Der Admin darf das immer, selbst wenn die kennwortrichtlinie die Wiederbenutzung von Kennwörtern verbietet,Das Einzige, was du fürchten musst, ist, dass dieses Konto für Dienstanmeldung und für geplante Tasks als ausführendes Konto genutzt worden ist. Wenn Du da keine Übersicht hast, würde ich von der Änderung absehen bevor du dir diese Übersicht geholt hast.
2
Moin,
ich würde sagen: wenn du alles richtig gemacht hast, dann kannst du das Kennwort ohne Probleme ändern.
"Richtig gemacht" bedeutet:
- "Administrator" wird nicht als Anmeldekonto für Dienste verwendet (Hierfür gibts gMSA's)
- "Administrator" wird nicht zur interaktiven Anmeldung verwendet (hierfür gibt's personalisierte Accounts)
- "Administrator" hat ein >25 Zeichen langes Passwort, das im Safe aufbewahrt wird.
lg,
Slainte
ich würde sagen: wenn du alles richtig gemacht hast, dann kannst du das Kennwort ohne Probleme ändern.
"Richtig gemacht" bedeutet:
- "Administrator" wird nicht als Anmeldekonto für Dienste verwendet (Hierfür gibts gMSA's)
- "Administrator" wird nicht zur interaktiven Anmeldung verwendet (hierfür gibt's personalisierte Accounts)
- "Administrator" hat ein >25 Zeichen langes Passwort, das im Safe aufbewahrt wird.
lg,
Slainte
@all: DANKE bis hierhin, nehme aber gerne weitere Gedanken auf.
Die geplanten Tasks habe ich durch, die laufen alle über ein anderes Konto.
An den Diensten bin ich gerade dran und habe (leider) auch welche gefunden.
Aber sind das wirklich die einzigen beiden Stellen, an denen sich eine PW-Änderung auswirken würde?
Die geplanten Tasks habe ich durch, die laufen alle über ein anderes Konto.
An den Diensten bin ich gerade dran und habe (leider) auch welche gefunden.
Aber sind das wirklich die einzigen beiden Stellen, an denen sich eine PW-Änderung auswirken würde?
Je nachdem, wie blöd der vorige Admin war, könnte er sein Domänenadmimnkonto samt Kennwort auch in den Anmeldeinformationsspeicher gelegt haben, um damit Netzlaufwerke zu mappen. Ist eigentlich mit dem Tode zu bestrafen, aber wer weiß.
1
Der vorherige Admin war ich. Und DAS habe ich nicht gemacht... 
1
Wenn du Dienste identifizierst erstelle doch einfach nen eigenen Service Account für die Dienste mit eigenem login und PW und die notwendigen Rechte. Tausche das Login und PW für die Dienste aus und wenn du glaubst du hast alles durch, dann änderst du den Administrator Account... und wenn dann immernoch was übersehen wurde wieder altes PW rein, dann nachfixen, und neuer versuch, so lange bis alles eben läuft...
Moin!
man könnte auf den DCs auch die Kontoanmeldungen überwachen (GPO\Sicherheiteinstellungen\Erweitert)
und dann die Security Events durchforsten, ob das entsprechende Konto irgendwo im Netzwerk zur Anmeldung verwendet wird. Sendet man die Logs dann permanent an Graylog kannst du auch hübsche Abfragen bauen bzw. Alerts.
Viel Erfolg
man könnte auf den DCs auch die Kontoanmeldungen überwachen (GPO\Sicherheiteinstellungen\Erweitert)
und dann die Security Events durchforsten, ob das entsprechende Konto irgendwo im Netzwerk zur Anmeldung verwendet wird. Sendet man die Logs dann permanent an Graylog kannst du auch hübsche Abfragen bauen bzw. Alerts.
Viel Erfolg
Es wäre außerordentlich bedenklich, wenn die Änderung des Kennworts einen der genannten Dienste beeinträchtigen würde.
Das heißt dann auch, dass mindestens eine Person wirklich sehr wenig Ahnung und Weitblick hätte.
Überhaupt Windows Dienste mit echten Usern zu betreiben, ist nicht up to date und wirft noch mehr Fragen in diese Richtung auf.
Das heißt dann auch, dass mindestens eine Person wirklich sehr wenig Ahnung und Weitblick hätte.
Überhaupt Windows Dienste mit echten Usern zu betreiben, ist nicht up to date und wirft noch mehr Fragen in diese Richtung auf.
Genau , für so etwas nimmt man gMSA.
Ja, mit Kerberos Auth und Delegation wäre sehr up to date.
Wobei da bei so mancher Anwendung die als Windowsdienst läuft der Entwickler im Bezug auf gMSA bzw. dem Vorgänger MSA unter einem Stein gelebt hat. Zb Serviceaccount Credentials innerhalb der Anwendung….
Ja, aber ggf Exchange Dienste oder Entra Sync mit nem Domain Admin Account zu betreiben, der für interaktive Logins genutzt wird und dann die Gefahr des Passwortwechsels zu sehen, ist schon Rind andere Hausnummer am anderen Ende der Straße, km Armenviertel.
Da muss man ja ständig in Angst leben.
Da muss man ja ständig in Angst leben.
also meistens hab ich das mit Dienst unter Account laufen sehen bei höchst professioneller software ...Hust, Röchel....
wie Warenwirtschaftssystemen....
oder selbst gebastelten diensten...
wie Warenwirtschaftssystemen....
oder selbst gebastelten diensten...
@all: DANKE!
