9
Domänen Administrator Passwort ändern
Guten Tag zusammen,
wir möchten bei uns im Unternehmen das Kennwort des Domänenadmin´s ändern.
Das aktuelle Kennwort ist mir bekannt, nur um irgendwelche Vermutungen/Missbrauch etc. auszuschließen.
Ich bin noch nicht so lange bei uns im Einsatz und vermute das sehr viele Dienste/Anwendungen/Datenbanken auf Servern mit dem Domönenadmin gestartet werden (Was natürlich nicht optimal ist).
Habt Ihr schonmal so einen ähnlichen Fall gehabt und könnt mir einen Tipp geben wie ich am besten vorgehen muss?
Will ungern das Kennwort im AD ändern und anschließend mit einer Flut von Tickets/Telefonaten bombadiert werden....
Vielleicht gibt es ein Tool was die Suche vereinfacht ?
Ich hoffe Ihr könnt mir nen Tipp geben.
Danke und Gruß
wir möchten bei uns im Unternehmen das Kennwort des Domänenadmin´s ändern.
Das aktuelle Kennwort ist mir bekannt, nur um irgendwelche Vermutungen/Missbrauch etc. auszuschließen.
Ich bin noch nicht so lange bei uns im Einsatz und vermute das sehr viele Dienste/Anwendungen/Datenbanken auf Servern mit dem Domönenadmin gestartet werden (Was natürlich nicht optimal ist).
Habt Ihr schonmal so einen ähnlichen Fall gehabt und könnt mir einen Tipp geben wie ich am besten vorgehen muss?
Will ungern das Kennwort im AD ändern und anschließend mit einer Flut von Tickets/Telefonaten bombadiert werden....
Vielleicht gibt es ein Tool was die Suche vereinfacht ?
Ich hoffe Ihr könnt mir nen Tipp geben.
Danke und Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 219313
Url: https://administrator.de/contentid/219313
Ausgedruckt am: 23.11.2024 um 00:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
am besten schau mal unter den Diensten, ob da das Admin-Konto steht, dann weißt du welche Dienste ggf. nicht mehr gehen (Backup-Dienste z.b.). Diese müssen mit angepasst werden.
Gruß
am besten schau mal unter den Diensten, ob da das Admin-Konto steht, dann weißt du welche Dienste ggf. nicht mehr gehen (Backup-Dienste z.b.). Diese müssen mit angepasst werden.
Gruß
Hi,
nutze die Dokumentation deines Vorgängers.
Falls es keine gibt: Viel Spaß beim suchen
nutze die Dokumentation deines Vorgängers.
Falls es keine gibt: Viel Spaß beim suchen
2
Also bei Sowas bleibt meist nur viel suchen und noch mehr Glück.
Was sind es denn für ein eventueller Missbrauch. Zur Note erstellst ein neuen Domänen-Admin und diesen Verweigerst du die Erlaubnis dich auf Servern anzumelden, wenn es sich um Einstellungen handelt, die geändert werden.
Wenn wir eine nähere Erläuterung dazu bekommen fallen uns vielleicht Alternativen ein.
Was sind es denn für ein eventueller Missbrauch. Zur Note erstellst ein neuen Domänen-Admin und diesen Verweigerst du die Erlaubnis dich auf Servern anzumelden, wenn es sich um Einstellungen handelt, die geändert werden.
Wenn wir eine nähere Erläuterung dazu bekommen fallen uns vielleicht Alternativen ein.
Danke für die schnellen Antworten.
Dokumentation fällt leider raus...
Bei uns passieren in letzter Zeit Dinge die wir uns nicht wirklich erklären können (Daten wurden gelöscht wo nur der Admin Zugang zu hat, Backups wurden geändert und noch so kleine andere "Späße"...) und rein aus Sicherheitsgründen würde ich das Kennwort gerne ändern.
Dokumentation fällt leider raus...
Bei uns passieren in letzter Zeit Dinge die wir uns nicht wirklich erklären können (Daten wurden gelöscht wo nur der Admin Zugang zu hat, Backups wurden geändert und noch so kleine andere "Späße"...) und rein aus Sicherheitsgründen würde ich das Kennwort gerne ändern.
Moin,
vor ähnlicher Situation stand ich schon schon mal.
Da hilft nur
1) Alle Server nach Diensten die mit dem Dom-Admin angemeldet werden durchsuchen,
2) Für jeden Dienst einen separaten User anlegen und eintragen
3) Das Ganze dokumentieren
4) Dom-Admin PW ändern.
Oder:
1) Dom-Admin PW ändern.
2) Gucken was nicht mehr geht
lg
Slainte
vor ähnlicher Situation stand ich schon schon mal.
Da hilft nur
1) Alle Server nach Diensten die mit dem Dom-Admin angemeldet werden durchsuchen,
2) Für jeden Dienst einen separaten User anlegen und eintragen
3) Das Ganze dokumentieren
4) Dom-Admin PW ändern.
Oder:
1) Dom-Admin PW ändern.
2) Gucken was nicht mehr geht
lg
Slainte
Hallo
Melde mich auch noch zu diesem Thema:
Habe das auch mal bei einer kleinen Domäne gemacht, nur 1 DC, und ca 10 Clients. Habe auch alle Dienste, die unter dem Dom-Account laufen, notiert.
Aber, Achtung: auch eventuelle Tasks durchsuchen, die eventuell den Dom-Account benötigen, die laufen logischerweise nach der Umstellung sonst auch nicht mehr.
Gruss meierjo
Melde mich auch noch zu diesem Thema:
Habe das auch mal bei einer kleinen Domäne gemacht, nur 1 DC, und ca 10 Clients. Habe auch alle Dienste, die unter dem Dom-Account laufen, notiert.
Aber, Achtung: auch eventuelle Tasks durchsuchen, die eventuell den Dom-Account benötigen, die laufen logischerweise nach der Umstellung sonst auch nicht mehr.
Gruss meierjo
HI,
stimme SlainteMhath zu. Für jeden Dienst einen eigenen neuen Benutzer mit passenden rechten anlegen und nach und nach austauschen bis kein Dienst mehr übrig ist.
Du solltest aber auch die Scheduled Tasks überprüfen ob da irgendwo das Konto benutzt wird.
Hast du alles nach und nach geändert kannste das Kennwort bedenkenlos ändern. Ausser dein Vorgänger hat wirklich fahrlässig gehandelt und das Passwort noch hard-coded in irgendein Script gehauen. Aber das merkste ja dann wenns nicht mehr geht.
stimme SlainteMhath zu. Für jeden Dienst einen eigenen neuen Benutzer mit passenden rechten anlegen und nach und nach austauschen bis kein Dienst mehr übrig ist.
Du solltest aber auch die Scheduled Tasks überprüfen ob da irgendwo das Konto benutzt wird.
Hast du alles nach und nach geändert kannste das Kennwort bedenkenlos ändern. Ausser dein Vorgänger hat wirklich fahrlässig gehandelt und das Passwort noch hard-coded in irgendein Script gehauen. Aber das merkste ja dann wenns nicht mehr geht.
Hi.
Lies auch mittels einer for-Schleife und schtasks /query /tn /v |findstr /I adminname aus, in welchen Tasks der Admin drinsteht, so etwa:
for /f %a in (taskliste.txt) do schtasks /query /tn %a /v |findstr /i adminname &&echo %a >>\\server\share\admintasks_auf_%computername%.txt
Eine schöne Arbeit wird das... in Zukunft nicht wieder den Domänenadmin nutzen, sondern Serviceaccounts: http://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx
Vielleicht gibt es ein Tool was die Suche vereinfacht ?
Lies per Skript aus, wer die Dienste startet mit Infos aus http://www.petri.co.il/find-user-based-service-accounts-with-powershell ...Lies auch mittels einer for-Schleife und schtasks /query /tn /v |findstr /I adminname aus, in welchen Tasks der Admin drinsteht, so etwa:
for /f %a in (taskliste.txt) do schtasks /query /tn %a /v |findstr /i adminname &&echo %a >>\\server\share\admintasks_auf_%computername%.txt
Eine schöne Arbeit wird das... in Zukunft nicht wieder den Domänenadmin nutzen, sondern Serviceaccounts: http://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx
1
Moin,
wir haben dazu vor Jahren das Tool Service Credentials Manager im Einsatz. Funktioniert schnell und gut.
Viele Grüße,
Dani
wir haben dazu vor Jahren das Tool Service Credentials Manager im Einsatz. Funktioniert schnell und gut.
Viele Grüße,
Dani
