tj.hooker74
Goto Top

Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADC

Hallo Forengemeinde!

Domäne mit WinSRV2016 und EX2016

Ich möchte das Kennwort meines Domänen-Admins ("Administrator") ändern.

Entweder ändere ich das PW direkt oder aber, das habe ich als Tippp gelesen, ich erstelle mir ein weiteres Admin-Konto, in dem ich den alten "Administrator" kopiere und deaktiviere den alten "Administrator" dann ohne das PW zu ändern.
Im Fehlerfall könnte ich das Konto dann schnell wieder aktivieren.

Neben vielen anderen Dingen steht die Frage im Raum:
Hat das, also entweder die Kennwortänderung oder die Kontoaktivieirung
Auswirkungen auf Exchange?
Auswirkungen auf die Hybrid-Konfigration (HCW)?
Auswirkungen auf Azure AD Connect (Entra Connect)?

Bei HCW und AADC habe ich bei der Einrichtung zwar den lokalen Admin-Account benötigt, aber m.M.n. nur um "reinzukommen" und Rechte zu haben, in der lokalen Struktur Änderungen zu setzen.

Auch beim Exchange-Server sehe ich aktuell keine Auswirkungen.

...aber ich würde gerne eure Meinung/euer Wissen erfragen, denn viellecht übersehe ich ja auch was...

DANKE!

TJ

Content-ID: 669636

Url: https://administrator.de/contentid/669636

Printed on: December 14, 2024 at 16:12 o'clock

mininik
mininik Nov 20, 2024 at 10:19:19 (UTC)
Goto Top
Hi,

haben die genannten Punkte

Auswirkungen auf Exchange?
Auswirkungen auf die Hybrid-Konfigration (HCW)?
Auswirkungen auf Azure AD Connect (Entra Connect)?

auch und ändern unser Dom-Admin-PW regelmäßig ohne Probleme.

LG
mininik
DerWoWusste
DerWoWusste Nov 20, 2024 at 10:35:41 (UTC)
Goto Top
Moin.
Im Fehlerfall könnte ich das Konto dann schnell wieder aktivieren.
Ziemlicher Humbug, dieser Tipp. Im Fehlerfall setzt Du natürlich das Kennwort wieder zurück auf den vorigen Wert. Der Admin darf das immer, selbst wenn die kennwortrichtlinie die Wiederbenutzung von Kennwörtern verbietet,

Das Einzige, was du fürchten musst, ist, dass dieses Konto für Dienstanmeldung und für geplante Tasks als ausführendes Konto genutzt worden ist. Wenn Du da keine Übersicht hast, würde ich von der Änderung absehen bevor du dir diese Übersicht geholt hast.
SlainteMhath
SlainteMhath Nov 20, 2024 at 10:36:19 (UTC)
Goto Top
Moin,

ich würde sagen: wenn du alles richtig gemacht hast, dann kannst du das Kennwort ohne Probleme ändern.

"Richtig gemacht" bedeutet:
- "Administrator" wird nicht als Anmeldekonto für Dienste verwendet (Hierfür gibts gMSA's)
- "Administrator" wird nicht zur interaktiven Anmeldung verwendet (hierfür gibt's personalisierte Accounts)
- "Administrator" hat ein >25 Zeichen langes Passwort, das im Safe aufbewahrt wird.

lg,
Slainte
TJ.Hooker74
TJ.Hooker74 Nov 20, 2024 at 10:53:35 (UTC)
Goto Top
@all: DANKE bis hierhin, nehme aber gerne weitere Gedanken auf.

Die geplanten Tasks habe ich durch, die laufen alle über ein anderes Konto.
An den Diensten bin ich gerade dran und habe (leider) auch welche gefunden.

Aber sind das wirklich die einzigen beiden Stellen, an denen sich eine PW-Änderung auswirken würde?
DerWoWusste
DerWoWusste Nov 20, 2024 at 11:07:14 (UTC)
Goto Top
Je nachdem, wie blöd der vorige Admin war, könnte er sein Domänenadmimnkonto samt Kennwort auch in den Anmeldeinformationsspeicher gelegt haben, um damit Netzlaufwerke zu mappen. Ist eigentlich mit dem Tode zu bestrafen, aber wer weiß.
TJ.Hooker74
TJ.Hooker74 Nov 20, 2024 at 12:42:14 (UTC)
Goto Top
Der vorherige Admin war ich. Und DAS habe ich nicht gemacht... face-wink
ThePinky777
ThePinky777 Nov 20, 2024 at 13:50:41 (UTC)
Goto Top
Wenn du Dienste identifizierst erstelle doch einfach nen eigenen Service Account für die Dienste mit eigenem login und PW und die notwendigen Rechte. Tausche das Login und PW für die Dienste aus und wenn du glaubst du hast alles durch, dann änderst du den Administrator Account... und wenn dann immernoch was übersehen wurde wieder altes PW rein, dann nachfixen, und neuer versuch, so lange bis alles eben läuft...
NordicWorker
NordicWorker Nov 20, 2024 at 15:10:37 (UTC)
Goto Top
Moin!

man könnte auf den DCs auch die Kontoanmeldungen überwachen (GPO\Sicherheiteinstellungen\Erweitert)
und dann die Security Events durchforsten, ob das entsprechende Konto irgendwo im Netzwerk zur Anmeldung verwendet wird. Sendet man die Logs dann permanent an Graylog kannst du auch hübsche Abfragen bauen bzw. Alerts.

Viel Erfolg
150631
150631 Nov 20, 2024 updated at 18:04:56 (UTC)
Goto Top
Es wäre außerordentlich bedenklich, wenn die Änderung des Kennworts einen der genannten Dienste beeinträchtigen würde.

Das heißt dann auch, dass mindestens eine Person wirklich sehr wenig Ahnung und Weitblick hätte.

Überhaupt Windows Dienste mit echten Usern zu betreiben, ist nicht up to date und wirft noch mehr Fragen in diese Richtung auf.
Delta9
Delta9 Nov 20, 2024 at 18:00:33 (UTC)
Goto Top
Genau , für so etwas nimmt man gMSA.
150631
150631 Nov 20, 2024 updated at 18:07:23 (UTC)
Goto Top
Ja, mit Kerberos Auth und Delegation wäre sehr up to date.
Delta9
Delta9 Nov 20, 2024 at 18:13:43 (UTC)
Goto Top
Wobei da bei so mancher Anwendung die als Windowsdienst läuft der Entwickler im Bezug auf gMSA bzw. dem Vorgänger MSA unter einem Stein gelebt hat. Zb Serviceaccount Credentials innerhalb der Anwendung….
150631
150631 Nov 20, 2024 at 18:23:43 (UTC)
Goto Top
Ja, aber ggf Exchange Dienste oder Entra Sync mit nem Domain Admin Account zu betreiben, der für interaktive Logins genutzt wird und dann die Gefahr des Passwortwechsels zu sehen, ist schon Rind andere Hausnummer am anderen Ende der Straße, km Armenviertel.
Da muss man ja ständig in Angst leben.
ThePinky777
ThePinky777 Nov 21, 2024 updated at 09:34:28 (UTC)
Goto Top
also meistens hab ich das mit Dienst unter Account laufen sehen bei höchst professioneller software ...Hust, Röchel....
wie Warenwirtschaftssystemen.... face-smile
oder selbst gebastelten diensten...
TJ.Hooker74
TJ.Hooker74 Nov 22, 2024 at 10:35:05 (UTC)
Goto Top
@all: DANKE!