Domänen Administrator Passwort ändern
Guten Tag zusammen,
wir möchten bei uns im Unternehmen das Kennwort des Domänenadmin´s ändern.
Das aktuelle Kennwort ist mir bekannt, nur um irgendwelche Vermutungen/Missbrauch etc. auszuschließen.
Ich bin noch nicht so lange bei uns im Einsatz und vermute das sehr viele Dienste/Anwendungen/Datenbanken auf Servern mit dem Domönenadmin gestartet werden (Was natürlich nicht optimal ist).
Habt Ihr schonmal so einen ähnlichen Fall gehabt und könnt mir einen Tipp geben wie ich am besten vorgehen muss?
Will ungern das Kennwort im AD ändern und anschließend mit einer Flut von Tickets/Telefonaten bombadiert werden....
Vielleicht gibt es ein Tool was die Suche vereinfacht ?
Ich hoffe Ihr könnt mir nen Tipp geben.
Danke und Gruß
wir möchten bei uns im Unternehmen das Kennwort des Domänenadmin´s ändern.
Das aktuelle Kennwort ist mir bekannt, nur um irgendwelche Vermutungen/Missbrauch etc. auszuschließen.
Ich bin noch nicht so lange bei uns im Einsatz und vermute das sehr viele Dienste/Anwendungen/Datenbanken auf Servern mit dem Domönenadmin gestartet werden (Was natürlich nicht optimal ist).
Habt Ihr schonmal so einen ähnlichen Fall gehabt und könnt mir einen Tipp geben wie ich am besten vorgehen muss?
Will ungern das Kennwort im AD ändern und anschließend mit einer Flut von Tickets/Telefonaten bombadiert werden....
Vielleicht gibt es ein Tool was die Suche vereinfacht ?
Ich hoffe Ihr könnt mir nen Tipp geben.
Danke und Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 219313
Url: https://administrator.de/forum/domaenen-administrator-passwort-aendern-219313.html
Ausgedruckt am: 28.12.2024 um 01:12 Uhr
9 Kommentare
Neuester Kommentar
Also bei Sowas bleibt meist nur viel suchen und noch mehr Glück.
Was sind es denn für ein eventueller Missbrauch. Zur Note erstellst ein neuen Domänen-Admin und diesen Verweigerst du die Erlaubnis dich auf Servern anzumelden, wenn es sich um Einstellungen handelt, die geändert werden.
Wenn wir eine nähere Erläuterung dazu bekommen fallen uns vielleicht Alternativen ein.
Was sind es denn für ein eventueller Missbrauch. Zur Note erstellst ein neuen Domänen-Admin und diesen Verweigerst du die Erlaubnis dich auf Servern anzumelden, wenn es sich um Einstellungen handelt, die geändert werden.
Wenn wir eine nähere Erläuterung dazu bekommen fallen uns vielleicht Alternativen ein.
Moin,
vor ähnlicher Situation stand ich schon schon mal.
Da hilft nur
1) Alle Server nach Diensten die mit dem Dom-Admin angemeldet werden durchsuchen,
2) Für jeden Dienst einen separaten User anlegen und eintragen
3) Das Ganze dokumentieren
4) Dom-Admin PW ändern.
Oder:
1) Dom-Admin PW ändern.
2) Gucken was nicht mehr geht
lg
Slainte
vor ähnlicher Situation stand ich schon schon mal.
Da hilft nur
1) Alle Server nach Diensten die mit dem Dom-Admin angemeldet werden durchsuchen,
2) Für jeden Dienst einen separaten User anlegen und eintragen
3) Das Ganze dokumentieren
4) Dom-Admin PW ändern.
Oder:
1) Dom-Admin PW ändern.
2) Gucken was nicht mehr geht
lg
Slainte
Hallo
Melde mich auch noch zu diesem Thema:
Habe das auch mal bei einer kleinen Domäne gemacht, nur 1 DC, und ca 10 Clients. Habe auch alle Dienste, die unter dem Dom-Account laufen, notiert.
Aber, Achtung: auch eventuelle Tasks durchsuchen, die eventuell den Dom-Account benötigen, die laufen logischerweise nach der Umstellung sonst auch nicht mehr.
Gruss meierjo
Melde mich auch noch zu diesem Thema:
Habe das auch mal bei einer kleinen Domäne gemacht, nur 1 DC, und ca 10 Clients. Habe auch alle Dienste, die unter dem Dom-Account laufen, notiert.
Aber, Achtung: auch eventuelle Tasks durchsuchen, die eventuell den Dom-Account benötigen, die laufen logischerweise nach der Umstellung sonst auch nicht mehr.
Gruss meierjo
HI,
stimme SlainteMhath zu. Für jeden Dienst einen eigenen neuen Benutzer mit passenden rechten anlegen und nach und nach austauschen bis kein Dienst mehr übrig ist.
Du solltest aber auch die Scheduled Tasks überprüfen ob da irgendwo das Konto benutzt wird.
Hast du alles nach und nach geändert kannste das Kennwort bedenkenlos ändern. Ausser dein Vorgänger hat wirklich fahrlässig gehandelt und das Passwort noch hard-coded in irgendein Script gehauen. Aber das merkste ja dann wenns nicht mehr geht.
stimme SlainteMhath zu. Für jeden Dienst einen eigenen neuen Benutzer mit passenden rechten anlegen und nach und nach austauschen bis kein Dienst mehr übrig ist.
Du solltest aber auch die Scheduled Tasks überprüfen ob da irgendwo das Konto benutzt wird.
Hast du alles nach und nach geändert kannste das Kennwort bedenkenlos ändern. Ausser dein Vorgänger hat wirklich fahrlässig gehandelt und das Passwort noch hard-coded in irgendein Script gehauen. Aber das merkste ja dann wenns nicht mehr geht.
Hi.
Lies auch mittels einer for-Schleife und schtasks /query /tn /v |findstr /I adminname aus, in welchen Tasks der Admin drinsteht, so etwa:
for /f %a in (taskliste.txt) do schtasks /query /tn %a /v |findstr /i adminname &&echo %a >>\\server\share\admintasks_auf_%computername%.txt
Eine schöne Arbeit wird das... in Zukunft nicht wieder den Domänenadmin nutzen, sondern Serviceaccounts: http://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx
Vielleicht gibt es ein Tool was die Suche vereinfacht ?
Lies per Skript aus, wer die Dienste startet mit Infos aus http://www.petri.co.il/find-user-based-service-accounts-with-powershell ...Lies auch mittels einer for-Schleife und schtasks /query /tn /v |findstr /I adminname aus, in welchen Tasks der Admin drinsteht, so etwa:
for /f %a in (taskliste.txt) do schtasks /query /tn %a /v |findstr /i adminname &&echo %a >>\\server\share\admintasks_auf_%computername%.txt
Eine schöne Arbeit wird das... in Zukunft nicht wieder den Domänenadmin nutzen, sondern Serviceaccounts: http://technet.microsoft.com/en-us/library/dd548356(v=ws.10).aspx
Moin,
wir haben dazu vor Jahren das Tool Service Credentials Manager im Einsatz. Funktioniert schnell und gut.
Viele Grüße,
Dani
wir haben dazu vor Jahren das Tool Service Credentials Manager im Einsatz. Funktioniert schnell und gut.
Viele Grüße,
Dani