Ehemaliger Domänenadministrator hat noch lokale Rechte
Hallo in die Runde,
ich hab folgendes Problem:
Wir haben in der Firma unsere Domäne umgestellt und dabei habe ich meinen Kollegen als Domänenadministrator eingesetzt, damit dieser an den User Rechnern vorab einige Sachen installieren konnte.
Das Problem an der ganzen Sache ist, dass dieser Kollege jetzt, obwohl ich ihn wieder aus der Gruppe der Domänenadministratoren entfernt habe, immer noch die administrativen Rechte auf den lokalen Clients nutzen kann und zwar mit altem Passwort.
Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?
Danke für eure Antwort.
ich hab folgendes Problem:
Wir haben in der Firma unsere Domäne umgestellt und dabei habe ich meinen Kollegen als Domänenadministrator eingesetzt, damit dieser an den User Rechnern vorab einige Sachen installieren konnte.
Das Problem an der ganzen Sache ist, dass dieser Kollege jetzt, obwohl ich ihn wieder aus der Gruppe der Domänenadministratoren entfernt habe, immer noch die administrativen Rechte auf den lokalen Clients nutzen kann und zwar mit altem Passwort.
Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?
Danke für eure Antwort.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283514
Url: https://administrator.de/forum/ehemaliger-domaenenadministrator-hat-noch-lokale-rechte-283514.html
Ausgedruckt am: 30.04.2025 um 03:04 Uhr
6 Kommentare
Neuester Kommentar
Hallo,
Ist das denn nicht sinn einer Domäne? Da wirst du um eine Änderung des Passworts für dein Domänenadmin nicht umhin kommen.
Gruß,
Peter
Ist das denn nicht sinn einer Domäne? Da wirst du um eine Änderung des Passworts für dein Domänenadmin nicht umhin kommen.
Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?
Ändere das Passwort für den Domänenadmin. Der sollte für das Arbeiten sowie zur Einrichtung eh nicht genutzt werden, dazu legt man sich einen neuen User an. Und vergiss nicht die dienste welche mit deinen Domänenadmin nun laufen tun...Gruß,
Peter
Das Passwort wurde bereits geändert und trotzdem kann sich der ehemalige Admin mit dem alten Passwort einloggen.
Welche Dienste meinst du?
Welche Dienste meinst du?
Hallo,
Die Rechner wurden ja schon neu gestartet oder?
Und wenn ein Domänenkonto verwendet wird und er ist nicht mehr Mitglied der Domänenadmins kommt er nur noch mit den Rechten daher welche du ihm gegeben hast. Um am Client eben als nicht mehr Mitglied der Domänenadmins betrachtet zu werden ist ein Abmelden des angemeldeten Benutzer zwingend. In welche lokalen Gruppen hat er sich den eingetragen?
Will er zwischengespeicherte Passwörter nutzen geht es nur wenn er das LAN Kabel vorher zieht und es keine Anfrage am DC geben sollte... Was genau tut er?
Gruß,
Peter
Zitat von @Yosei12:
Das Passwort wurde bereits geändert und trotzdem kann sich der ehemalige Admin mit dem alten Passwort einloggen.
Am Konto des Domänenadmin, ohne das LAN Kabel vorher zu ziehen? Dann nutzt er ein anderes Konto oder hat sich lokal in der Gruppe der Administratoren.... Hat der sich Lokal ein anderes Konto dazu eingerichtet? Welche gespeicherten Passwörter gibt es bei den Benutzern und in dessen Profile?Das Passwort wurde bereits geändert und trotzdem kann sich der ehemalige Admin mit dem alten Passwort einloggen.
Die Rechner wurden ja schon neu gestartet oder?
Und wenn ein Domänenkonto verwendet wird und er ist nicht mehr Mitglied der Domänenadmins kommt er nur noch mit den Rechten daher welche du ihm gegeben hast. Um am Client eben als nicht mehr Mitglied der Domänenadmins betrachtet zu werden ist ein Abmelden des angemeldeten Benutzer zwingend. In welche lokalen Gruppen hat er sich den eingetragen?
Will er zwischengespeicherte Passwörter nutzen geht es nur wenn er das LAN Kabel vorher zieht und es keine Anfrage am DC geben sollte... Was genau tut er?
Welche Dienste meinst du?
Die Dienste.Gruß,
Peter
1
Hallo,
und/oder das Passwort dann ändern.
Gruß
Dobby
Wir haben in der Firma unsere Domäne umgestellt und dabei habe ich meinen Kollegen als
Domänenadministrator eingesetzt, damit dieser an den User Rechnern vorab einige Sachen
installieren konnte.
Also einen extra Domainadmin Account angelegt?Domänenadministrator eingesetzt, damit dieser an den User Rechnern vorab einige Sachen
installieren konnte.
immer noch die administrativen Rechte auf den lokalen Clients nutzen kann und
zwar mit altem Passwort.
und ein neues Passwort setzen funktioniert nicht?zwar mit altem Passwort.
Der Gedanke an den Cache liegt ja sehr nahe, aber wie kann das Problem gelöst werden?
Den alten "nur" Domainenadmin Account deaktivieren (falls ein extra Konto angelegt wurde)und/oder das Passwort dann ändern.
Gruß
Dobby
Ursprüngliche Situation:
User: ABC
Mitglied von : Domänenbenutzer, Sicherheitsgruppe 1, Sicherheitsgruppe 2,Domänenadministratoren
PW: 1234
Damit wurden auf den Clients die Änderungen durchgeführt.
Neue Situation:
User: ABC
Mitglied von : Domänenbenutzer, Sicherheitsgruppe 1, Sicherheitsgruppe 2
Neues PW: 4321
=> User ABC kann mit PW 1234 auf den Clients (alle wurden mehrfach neugestartet und das Netzwerkkabel ist auch eingesteckt) immer noch Änderungen durchführen.
Ich hoffe damit ist die Situation etwas klarer dargestellt.
@peter
Danke für den coolen Tipp mit den Diensten.
User: ABC
Mitglied von : Domänenbenutzer, Sicherheitsgruppe 1, Sicherheitsgruppe 2,Domänenadministratoren
PW: 1234
Damit wurden auf den Clients die Änderungen durchgeführt.
Neue Situation:
User: ABC
Mitglied von : Domänenbenutzer, Sicherheitsgruppe 1, Sicherheitsgruppe 2
Neues PW: 4321
=> User ABC kann mit PW 1234 auf den Clients (alle wurden mehrfach neugestartet und das Netzwerkkabel ist auch eingesteckt) immer noch Änderungen durchführen.
Ich hoffe damit ist die Situation etwas klarer dargestellt.
@peter
Danke für den coolen Tipp mit den Diensten.
Hi,
die Sache scheint klar:
Der Client hat keinen Kontakt zur Domäne und kann die Informationen nicht aktualisieren. Dadurch kann sich der Kollege immer noch mit zwischengespeicherten Anmeldedaten an diesem Client anmelden.
Warum der Client keinen Kontakt zur Domäne hat, musst Du rausfinden.
LAN wird es ja nicht sein, das hättest Du bereits rausgefunden. Es sei denn, er ist so clever, und zieht jedesmal bei Anmeldung das LAN-Kabel raus bzw. deaktiviert WLAN. Das "simuliert" sozusagen ein Notebook, welches gerade mobil unterwegs ist und keinen Kontakt zur Domäne hat.
Bliebe noch DNS. Das hättest Du sicher auch schon bemerkt, weil dann diverse Zugriffe nicht funktionieren würden.
Das Computerkonto ist nicht mehr aktuell? z.B. weil es von einem anderen Client okkupiert wurde, oder weil das Passwort zurückgesetzt wurde. Dadurch kann der Client selbst nicht mehr auf die Domäne zugreifen. Aber auch dann müssetn andere Probleme beim Zugriff auf diverse Ressourcen auftreten.
E.
die Sache scheint klar:
Der Client hat keinen Kontakt zur Domäne und kann die Informationen nicht aktualisieren. Dadurch kann sich der Kollege immer noch mit zwischengespeicherten Anmeldedaten an diesem Client anmelden.
Warum der Client keinen Kontakt zur Domäne hat, musst Du rausfinden.
LAN wird es ja nicht sein, das hättest Du bereits rausgefunden. Es sei denn, er ist so clever, und zieht jedesmal bei Anmeldung das LAN-Kabel raus bzw. deaktiviert WLAN. Das "simuliert" sozusagen ein Notebook, welches gerade mobil unterwegs ist und keinen Kontakt zur Domäne hat.
Bliebe noch DNS. Das hättest Du sicher auch schon bemerkt, weil dann diverse Zugriffe nicht funktionieren würden.
Das Computerkonto ist nicht mehr aktuell? z.B. weil es von einem anderen Client okkupiert wurde, oder weil das Passwort zurückgesetzt wurde. Dadurch kann der Client selbst nicht mehr auf die Domäne zugreifen. Aber auch dann müssetn andere Probleme beim Zugriff auf diverse Ressourcen auftreten.
E.
