Domain - Zugriff auf Rechner in Netzwerk ohne Administrator Passwort
Hallo zusammen,
aktuell bin ich dabei, unsere neue Domain in unserer Firma aufzubauen. In der aktuellen Domain ist es möglich, auf einen anderen Rechner per \\Computer\C$ ohne die Eingabe eines zusätzlichen Passwortes zuzugreifen. Dies liegt daran, dass ich als Benutzer in der Gruppe Domain-Admins aufgenommen wurde. Die aktuelle Domain basiert noch auf einem Windows 2000 Server und soll nächste Woche durch einen Windows Server 2012 R2 ersetzt werden. Die gesamte Domain wird neu aufgebaut. Es wird nichts übernommen.
Jetzt würde ich sagen, alles kein Problem. Ich füge in der neuen Domain einfach meinen Benutzer ebenfalls in die Domain-Admins Gruppe ein und schon ist die Sache erledigt. Nur will ich die neue Domain etwas sicherer gestalten als die alte Domain. Alles soll etwas restriktiver sein als zuvor. Auf den Komfort, auf einen entfernten Rechner ohne zusätzliche Eingabe eines Benutzernamens und eines Passwortes würde ich jedoch ungern verzichten. Es gibt auch noch einen weiteren Grund, wieso ich meinen Benutzer nicht zur Gruppe Domain-Admins hinzufügen kann. Und zwar wird bei uns im Zuge der Domain Umstellung auch ein neuer Exchange Server mit eingebunden (Exchange 2016). Alles schon konfiguriert und läuft top. Jedoch ist ein Zugriff auf ein Postfach nur dann möglich, wenn der Benutzer nicht Mitglied in einer Administratoren Gruppe ist. (Sicherheitsfeature von Exchange bzw. Microsoft).
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
aktuell bin ich dabei, unsere neue Domain in unserer Firma aufzubauen. In der aktuellen Domain ist es möglich, auf einen anderen Rechner per \\Computer\C$ ohne die Eingabe eines zusätzlichen Passwortes zuzugreifen. Dies liegt daran, dass ich als Benutzer in der Gruppe Domain-Admins aufgenommen wurde. Die aktuelle Domain basiert noch auf einem Windows 2000 Server und soll nächste Woche durch einen Windows Server 2012 R2 ersetzt werden. Die gesamte Domain wird neu aufgebaut. Es wird nichts übernommen.
Jetzt würde ich sagen, alles kein Problem. Ich füge in der neuen Domain einfach meinen Benutzer ebenfalls in die Domain-Admins Gruppe ein und schon ist die Sache erledigt. Nur will ich die neue Domain etwas sicherer gestalten als die alte Domain. Alles soll etwas restriktiver sein als zuvor. Auf den Komfort, auf einen entfernten Rechner ohne zusätzliche Eingabe eines Benutzernamens und eines Passwortes würde ich jedoch ungern verzichten. Es gibt auch noch einen weiteren Grund, wieso ich meinen Benutzer nicht zur Gruppe Domain-Admins hinzufügen kann. Und zwar wird bei uns im Zuge der Domain Umstellung auch ein neuer Exchange Server mit eingebunden (Exchange 2016). Alles schon konfiguriert und läuft top. Jedoch ist ein Zugriff auf ein Postfach nur dann möglich, wenn der Benutzer nicht Mitglied in einer Administratoren Gruppe ist. (Sicherheitsfeature von Exchange bzw. Microsoft).
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303544
Url: https://administrator.de/contentid/303544
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
14 Kommentare
Neuester Kommentar
random google link: http://www.dannyeckes.com/create-local-admin-group-policy-gpo/
Zitat von @Aviator:
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Mach auf den rechnern einfach eine Freigabe "\\Rechner\C_Laufwerk" für eine passende Benutzergruppe udn schon können alle User in dieser Gruppeauch ohne Admin zu sein auf das C-Laufwerk zugreifen.
lks
Zitat von @Aviator:
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Jup - ganz einfach. Arbeite als User und administriere als Admin. Schon schlimm, das erst ein Exchangeserver dich dazu bringt, über simple Grundsätze der Netzwerksicherheit nachzudenken - leider denkst du in die falsche Richtung.Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
leider denkst du in die falsche Richtung.
Ach, sei doch nicht so ernst. Immerhin hat der TO die große Chance beim Auftreten einer Schadsoftware wenigsten die gesamte Firma lahmzulegen und nicht nur ein paar Ordner verschlüsseln zu lassen. Da lohnt es sich wenigstens ein paar Bitcoins zu wechseln
LG Günther
Passwort eingeben?
Komfort und Sicherheit passt nicht immer zusammen. Das hat auch Microsoft gemerkt, und deswegen viele viele neue Sicherheitsfeatures und sicherere Standardeinstellungen nach Win2000 eingeführt. Und die gehören nicht umgangen sondern verstanden und genutzt.
Es kann durchaus mal passieren, das man aufgrund mies programmierter Software an dem System mal kratzen muss - dann muss man die Sicherheit aber wieder auf andere Art und Weise herstellen. Sich aber mal pauschal ein riesen Loch in das Sicherheitskonzept zu reißen, weil der eigene Workflow falsch ist, halte ich für mehr als fragwürdig.
Komfort und Sicherheit passt nicht immer zusammen. Das hat auch Microsoft gemerkt, und deswegen viele viele neue Sicherheitsfeatures und sicherere Standardeinstellungen nach Win2000 eingeführt. Und die gehören nicht umgangen sondern verstanden und genutzt.
Es kann durchaus mal passieren, das man aufgrund mies programmierter Software an dem System mal kratzen muss - dann muss man die Sicherheit aber wieder auf andere Art und Weise herstellen. Sich aber mal pauschal ein riesen Loch in das Sicherheitskonzept zu reißen, weil der eigene Workflow falsch ist, halte ich für mehr als fragwürdig.
Ein Hauch von Einsicht - da will ich dann auch gerne weiter beraten.
Du musst deinen Workflow umstellen. Nutze einen User-Account für deine täglichen Arbeiten (Mail, Internetrecherchen etc). Für das administrieren nutze einen entsprechenden Account. Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin
Du musst deinen Workflow umstellen. Nutze einen User-Account für deine täglichen Arbeiten (Mail, Internetrecherchen etc). Für das administrieren nutze einen entsprechenden Account. Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin
Ich mag "Admin-Server". Server die nur laufen, um alles mögliche an Software, die zur Verwaltung des Netzwerkes nötig ist, bereit zu stellen. Sauber. Zentral. Leicht zu sichern.
Und man hat gleich einen Platz, um Dokumentationen, Passwörter und Setups abzulegen
Und man hat gleich einen Platz, um Dokumentationen, Passwörter und Setups abzulegen