aviator
Goto Top

Domain - Zugriff auf Rechner in Netzwerk ohne Administrator Passwort

Hallo zusammen,
aktuell bin ich dabei, unsere neue Domain in unserer Firma aufzubauen. In der aktuellen Domain ist es möglich, auf einen anderen Rechner per \\Computer\C$ ohne die Eingabe eines zusätzlichen Passwortes zuzugreifen. Dies liegt daran, dass ich als Benutzer in der Gruppe Domain-Admins aufgenommen wurde. Die aktuelle Domain basiert noch auf einem Windows 2000 Server und soll nächste Woche durch einen Windows Server 2012 R2 ersetzt werden. Die gesamte Domain wird neu aufgebaut. Es wird nichts übernommen.

Jetzt würde ich sagen, alles kein Problem. Ich füge in der neuen Domain einfach meinen Benutzer ebenfalls in die Domain-Admins Gruppe ein und schon ist die Sache erledigt. Nur will ich die neue Domain etwas sicherer gestalten als die alte Domain. Alles soll etwas restriktiver sein als zuvor. Auf den Komfort, auf einen entfernten Rechner ohne zusätzliche Eingabe eines Benutzernamens und eines Passwortes würde ich jedoch ungern verzichten. Es gibt auch noch einen weiteren Grund, wieso ich meinen Benutzer nicht zur Gruppe Domain-Admins hinzufügen kann. Und zwar wird bei uns im Zuge der Domain Umstellung auch ein neuer Exchange Server mit eingebunden (Exchange 2016). Alles schon konfiguriert und läuft top. Jedoch ist ein Zugriff auf ein Postfach nur dann möglich, wenn der Benutzer nicht Mitglied in einer Administratoren Gruppe ist. (Sicherheitsfeature von Exchange bzw. Microsoft).

Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.

Content-ID: 303544

Url: https://administrator.de/contentid/303544

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

Dirmhirn
Dirmhirn 03.05.2016 um 18:23:39 Uhr
Goto Top
Hi,

du musst nur auf dem PC auf den du zugreifen willst in der lokalen Admin Gruppe sein.

sg Dirm
Aviator
Aviator 03.05.2016 um 18:27:42 Uhr
Goto Top
Hi Dirmhirn,

danke für die Antwort.

Gibt es eine Möglichkeit, dass irgendwie zentral per bspw. GPO oder so zu verwalten? Ich würde ungern auf jedem Rechner meinen Benutzer (und noch den eines anderen) per Benutzerkontenverwaltung hinzufügen. Vorher war dies auch nicht der Fall und es hatte eben durch die Domain-Admin Rechte funktioniert.
Dirmhirn
Dirmhirn 03.05.2016 um 18:32:24 Uhr
Goto Top
Lochkartenstanzer
Lochkartenstanzer 03.05.2016 aktualisiert um 18:49:54 Uhr
Goto Top
Zitat von @Aviator:

Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.

Mach auf den rechnern einfach eine Freigabe "\\Rechner\C_Laufwerk" für eine passende Benutzergruppe udn schon können alle User in dieser Gruppeauch ohne Admin zu sein auf das C-Laufwerk zugreifen.

lks
127944
127944 03.05.2016 um 22:26:06 Uhr
Goto Top
Zitat von @Aviator:
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Jup - ganz einfach. Arbeite als User und administriere als Admin. Schon schlimm, das erst ein Exchangeserver dich dazu bringt, über simple Grundsätze der Netzwerksicherheit nachzudenken - leider denkst du in die falsche Richtung.
GuentherH
GuentherH 03.05.2016 um 22:55:43 Uhr
Goto Top
leider denkst du in die falsche Richtung.

Ach, sei doch nicht so ernst. Immerhin hat der TO die große Chance beim Auftreten einer Schadsoftware wenigsten die gesamte Firma lahmzulegen und nicht nur ein paar Ordner verschlüsseln zu lassen. Da lohnt es sich wenigstens ein paar Bitcoins zu wechseln face-wink

LG Günther
Aviator
Aviator 04.05.2016 aktualisiert um 09:59:38 Uhr
Goto Top
@GuentherH

Also diesen Kommentar hättest du dir auch sparen und deine Zeit mit sinnvolleren Dingen verbringen können.
Aviator
Aviator 04.05.2016 aktualisiert um 09:59:12 Uhr
Goto Top
@127944

Ist halt schade wenn der Komfort den man vorher hatte einfach so dahinweht. Jedes Mal ein Passwort einzugeben nur um eine Datei auf ein Laufwerk zu kopieren ist eben sehr "aufwendig". Und nicht der Exchange Server hat mich darauf gebracht es war mir bereits vorher bewusst, dass hier gewisse Dinge passieren könnten wenn man nicht aufpasst bzw. sich einen Virus fängt.

Wie macht ihr das denn bei euch wenn ihr sowas verwalten müsst?
127944
Lösung 127944 04.05.2016 um 10:03:37 Uhr
Goto Top
Passwort eingeben?
Komfort und Sicherheit passt nicht immer zusammen. Das hat auch Microsoft gemerkt, und deswegen viele viele neue Sicherheitsfeatures und sicherere Standardeinstellungen nach Win2000 eingeführt. Und die gehören nicht umgangen sondern verstanden und genutzt.
Es kann durchaus mal passieren, das man aufgrund mies programmierter Software an dem System mal kratzen muss - dann muss man die Sicherheit aber wieder auf andere Art und Weise herstellen. Sich aber mal pauschal ein riesen Loch in das Sicherheitskonzept zu reißen, weil der eigene Workflow falsch ist, halte ich für mehr als fragwürdig.
Aviator
Aviator 04.05.2016 um 10:14:20 Uhr
Goto Top
Hmm, dann werde ich das wohl so machen. Klar will ich eine sichere Umgebung nur man versucht natürlich auch immer sich nicht unnötig Arbeit aufzubrummen. Und wenn es dann einen schnelleren Weg gibt den man gehen kann, wieso sollte man den dann nicht auch einschlagen als umständlich über ein Passwort auf den Rechner zu gelangen. Aber ok, dann geb ich mich einfach mal mit der aktuellen Lösung zufrieden.
127944
127944 04.05.2016 um 10:19:52 Uhr
Goto Top
Ein Hauch von Einsicht - da will ich dann auch gerne weiter beraten.
Du musst deinen Workflow umstellen. Nutze einen User-Account für deine täglichen Arbeiten (Mail, Internetrecherchen etc). Für das administrieren nutze einen entsprechenden Account. Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin face-smile
Aviator
Aviator 04.05.2016 um 10:51:34 Uhr
Goto Top
Zitat von @127944:

Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin face-smile

Ist natürlich auch eine Lösung. Eine RDP Sitzung zumindest zu einem der Server ist sowieso meistens geöffnet da immer irgendwo Einstellungen gemacht werden müssen. Noch weitere Tipps zur besseren Verwaltung? face-wink
127944
127944 04.05.2016 um 11:25:45 Uhr
Goto Top
Ich mag "Admin-Server". Server die nur laufen, um alles mögliche an Software, die zur Verwaltung des Netzwerkes nötig ist, bereit zu stellen. Sauber. Zentral. Leicht zu sichern.
Und man hat gleich einen Platz, um Dokumentationen, Passwörter und Setups abzulegen
Aviator
Aviator 04.05.2016 um 14:59:59 Uhr
Goto Top
Alles klar. Werde ich dann wohl so oder so ähnlich umsetzen. Eine gewisse Struktur steht ja bereits durch die alte Domain. Danke.