14
Domain - Zugriff auf Rechner in Netzwerk ohne Administrator Passwort
Hallo zusammen,
aktuell bin ich dabei, unsere neue Domain in unserer Firma aufzubauen. In der aktuellen Domain ist es möglich, auf einen anderen Rechner per \\Computer\C$ ohne die Eingabe eines zusätzlichen Passwortes zuzugreifen. Dies liegt daran, dass ich als Benutzer in der Gruppe Domain-Admins aufgenommen wurde. Die aktuelle Domain basiert noch auf einem Windows 2000 Server und soll nächste Woche durch einen Windows Server 2012 R2 ersetzt werden. Die gesamte Domain wird neu aufgebaut. Es wird nichts übernommen.
Jetzt würde ich sagen, alles kein Problem. Ich füge in der neuen Domain einfach meinen Benutzer ebenfalls in die Domain-Admins Gruppe ein und schon ist die Sache erledigt. Nur will ich die neue Domain etwas sicherer gestalten als die alte Domain. Alles soll etwas restriktiver sein als zuvor. Auf den Komfort, auf einen entfernten Rechner ohne zusätzliche Eingabe eines Benutzernamens und eines Passwortes würde ich jedoch ungern verzichten. Es gibt auch noch einen weiteren Grund, wieso ich meinen Benutzer nicht zur Gruppe Domain-Admins hinzufügen kann. Und zwar wird bei uns im Zuge der Domain Umstellung auch ein neuer Exchange Server mit eingebunden (Exchange 2016). Alles schon konfiguriert und läuft top. Jedoch ist ein Zugriff auf ein Postfach nur dann möglich, wenn der Benutzer nicht Mitglied in einer Administratoren Gruppe ist. (Sicherheitsfeature von Exchange bzw. Microsoft).
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
aktuell bin ich dabei, unsere neue Domain in unserer Firma aufzubauen. In der aktuellen Domain ist es möglich, auf einen anderen Rechner per \\Computer\C$ ohne die Eingabe eines zusätzlichen Passwortes zuzugreifen. Dies liegt daran, dass ich als Benutzer in der Gruppe Domain-Admins aufgenommen wurde. Die aktuelle Domain basiert noch auf einem Windows 2000 Server und soll nächste Woche durch einen Windows Server 2012 R2 ersetzt werden. Die gesamte Domain wird neu aufgebaut. Es wird nichts übernommen.
Jetzt würde ich sagen, alles kein Problem. Ich füge in der neuen Domain einfach meinen Benutzer ebenfalls in die Domain-Admins Gruppe ein und schon ist die Sache erledigt. Nur will ich die neue Domain etwas sicherer gestalten als die alte Domain. Alles soll etwas restriktiver sein als zuvor. Auf den Komfort, auf einen entfernten Rechner ohne zusätzliche Eingabe eines Benutzernamens und eines Passwortes würde ich jedoch ungern verzichten. Es gibt auch noch einen weiteren Grund, wieso ich meinen Benutzer nicht zur Gruppe Domain-Admins hinzufügen kann. Und zwar wird bei uns im Zuge der Domain Umstellung auch ein neuer Exchange Server mit eingebunden (Exchange 2016). Alles schon konfiguriert und läuft top. Jedoch ist ein Zugriff auf ein Postfach nur dann möglich, wenn der Benutzer nicht Mitglied in einer Administratoren Gruppe ist. (Sicherheitsfeature von Exchange bzw. Microsoft).
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 303544
Url: https://administrator.de/contentid/303544
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
14 Kommentare
Neuester Kommentar
Hi,
du musst nur auf dem PC auf den du zugreifen willst in der lokalen Admin Gruppe sein.
sg Dirm
du musst nur auf dem PC auf den du zugreifen willst in der lokalen Admin Gruppe sein.
sg Dirm
Hi Dirmhirn,
danke für die Antwort.
Gibt es eine Möglichkeit, dass irgendwie zentral per bspw. GPO oder so zu verwalten? Ich würde ungern auf jedem Rechner meinen Benutzer (und noch den eines anderen) per Benutzerkontenverwaltung hinzufügen. Vorher war dies auch nicht der Fall und es hatte eben durch die Domain-Admin Rechte funktioniert.
danke für die Antwort.
Gibt es eine Möglichkeit, dass irgendwie zentral per bspw. GPO oder so zu verwalten? Ich würde ungern auf jedem Rechner meinen Benutzer (und noch den eines anderen) per Benutzerkontenverwaltung hinzufügen. Vorher war dies auch nicht der Fall und es hatte eben durch die Domain-Admin Rechte funktioniert.
random google link: http://www.dannyeckes.com/create-local-admin-group-policy-gpo/
Zitat von @Aviator:
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Mach auf den rechnern einfach eine Freigabe "\\Rechner\C_Laufwerk" für eine passende Benutzergruppe udn schon können alle User in dieser Gruppeauch ohne Admin zu sein auf das C-Laufwerk zugreifen.
lks
Zitat von @Aviator:
Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
Jup - ganz einfach. Arbeite als User und administriere als Admin. Schon schlimm, das erst ein Exchangeserver dich dazu bringt, über simple Grundsätze der Netzwerksicherheit nachzudenken - leider denkst du in die falsche Richtung.Gibt es irgendeinen Weg, trotzdem auf entfernte Rechner ohne Eingabe eines Benutzernamens und eines Passwortes zuzugreifen? Wäre super, wenn mir hierfür jemand eine Lösung geben könnte.
leider denkst du in die falsche Richtung.
Ach, sei doch nicht so ernst. Immerhin hat der TO die große Chance beim Auftreten einer Schadsoftware wenigsten die gesamte Firma lahmzulegen und nicht nur ein paar Ordner verschlüsseln zu lassen. Da lohnt es sich wenigstens ein paar Bitcoins zu wechseln
LG Günther
2
@GuentherH
Also diesen Kommentar hättest du dir auch sparen und deine Zeit mit sinnvolleren Dingen verbringen können.
Also diesen Kommentar hättest du dir auch sparen und deine Zeit mit sinnvolleren Dingen verbringen können.
@127944
Ist halt schade wenn der Komfort den man vorher hatte einfach so dahinweht. Jedes Mal ein Passwort einzugeben nur um eine Datei auf ein Laufwerk zu kopieren ist eben sehr "aufwendig". Und nicht der Exchange Server hat mich darauf gebracht es war mir bereits vorher bewusst, dass hier gewisse Dinge passieren könnten wenn man nicht aufpasst bzw. sich einen Virus fängt.
Wie macht ihr das denn bei euch wenn ihr sowas verwalten müsst?
Ist halt schade wenn der Komfort den man vorher hatte einfach so dahinweht. Jedes Mal ein Passwort einzugeben nur um eine Datei auf ein Laufwerk zu kopieren ist eben sehr "aufwendig". Und nicht der Exchange Server hat mich darauf gebracht es war mir bereits vorher bewusst, dass hier gewisse Dinge passieren könnten wenn man nicht aufpasst bzw. sich einen Virus fängt.
Wie macht ihr das denn bei euch wenn ihr sowas verwalten müsst?
Passwort eingeben?
Komfort und Sicherheit passt nicht immer zusammen. Das hat auch Microsoft gemerkt, und deswegen viele viele neue Sicherheitsfeatures und sicherere Standardeinstellungen nach Win2000 eingeführt. Und die gehören nicht umgangen sondern verstanden und genutzt.
Es kann durchaus mal passieren, das man aufgrund mies programmierter Software an dem System mal kratzen muss - dann muss man die Sicherheit aber wieder auf andere Art und Weise herstellen. Sich aber mal pauschal ein riesen Loch in das Sicherheitskonzept zu reißen, weil der eigene Workflow falsch ist, halte ich für mehr als fragwürdig.
Komfort und Sicherheit passt nicht immer zusammen. Das hat auch Microsoft gemerkt, und deswegen viele viele neue Sicherheitsfeatures und sicherere Standardeinstellungen nach Win2000 eingeführt. Und die gehören nicht umgangen sondern verstanden und genutzt.
Es kann durchaus mal passieren, das man aufgrund mies programmierter Software an dem System mal kratzen muss - dann muss man die Sicherheit aber wieder auf andere Art und Weise herstellen. Sich aber mal pauschal ein riesen Loch in das Sicherheitskonzept zu reißen, weil der eigene Workflow falsch ist, halte ich für mehr als fragwürdig.
1
Hmm, dann werde ich das wohl so machen. Klar will ich eine sichere Umgebung nur man versucht natürlich auch immer sich nicht unnötig Arbeit aufzubrummen. Und wenn es dann einen schnelleren Weg gibt den man gehen kann, wieso sollte man den dann nicht auch einschlagen als umständlich über ein Passwort auf den Rechner zu gelangen. Aber ok, dann geb ich mich einfach mal mit der aktuellen Lösung zufrieden.
Ein Hauch von Einsicht - da will ich dann auch gerne weiter beraten.
Du musst deinen Workflow umstellen. Nutze einen User-Account für deine täglichen Arbeiten (Mail, Internetrecherchen etc). Für das administrieren nutze einen entsprechenden Account. Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin
Du musst deinen Workflow umstellen. Nutze einen User-Account für deine täglichen Arbeiten (Mail, Internetrecherchen etc). Für das administrieren nutze einen entsprechenden Account. Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin
Zitat von @127944:
Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin
Beispielsweise nutze einen Server per RDP. Die Credentials für die Verbindung kannst du in einer Verknüpfung auf deinem Desktop ablegen. Dann ist es nur ein Doppelklick - und du bist Netzwerkadmin
Ist natürlich auch eine Lösung. Eine RDP Sitzung zumindest zu einem der Server ist sowieso meistens geöffnet da immer irgendwo Einstellungen gemacht werden müssen. Noch weitere Tipps zur besseren Verwaltung?
Ich mag "Admin-Server". Server die nur laufen, um alles mögliche an Software, die zur Verwaltung des Netzwerkes nötig ist, bereit zu stellen. Sauber. Zentral. Leicht zu sichern.
Und man hat gleich einen Platz, um Dokumentationen, Passwörter und Setups abzulegen
Und man hat gleich einen Platz, um Dokumentationen, Passwörter und Setups abzulegen
Alles klar. Werde ich dann wohl so oder so ähnlich umsetzen. Eine gewisse Struktur steht ja bereits durch die alte Domain. Danke.
