Lokales Domain-Konto
Moin Leute,
ich wusste kein besseren Titel für diese Frage:
Ich habe ein Notebook, welches in eine Domain aufgenommen ist (WIN7)
Wenn ich unterwegs bin, kann der Domain-User sich anmelden, ohne dass die Verbindung zum DC steht.
Alles klappt, Mail und lokale Daten sind da, wie bei eine Anmeldung am DC im Netz.
Der User ist natürlich kein Admin...
Wenn ich nun ein Programm installieren will, dann verlangt das System ein Admin-Passwort.
Dann gebe ich die Daten an vom Domain-Admin und es klappt.
Frage: Wo ist das Passwort gespeichert? Ich habe keine Verbindung zum DC, deshalb kann es nur Lokal sein.
Der User existiert lokal natürlich nicht, könnte sich also auch nicht anmelden.
Der Admin in der Domain hat ein andere Anmeldenamen als der lokaler Admin, das kann es also auch nicht sein.
Wer hat die Antwort?
Gruß, Jacob
ich wusste kein besseren Titel für diese Frage:
Ich habe ein Notebook, welches in eine Domain aufgenommen ist (WIN7)
Wenn ich unterwegs bin, kann der Domain-User sich anmelden, ohne dass die Verbindung zum DC steht.
Alles klappt, Mail und lokale Daten sind da, wie bei eine Anmeldung am DC im Netz.
Der User ist natürlich kein Admin...
Wenn ich nun ein Programm installieren will, dann verlangt das System ein Admin-Passwort.
Dann gebe ich die Daten an vom Domain-Admin und es klappt.
Frage: Wo ist das Passwort gespeichert? Ich habe keine Verbindung zum DC, deshalb kann es nur Lokal sein.
Der User existiert lokal natürlich nicht, könnte sich also auch nicht anmelden.
Der Admin in der Domain hat ein andere Anmeldenamen als der lokaler Admin, das kann es also auch nicht sein.
Wer hat die Antwort?
Gruß, Jacob
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 312826
Url: https://administrator.de/forum/lokales-domain-konto-312826.html
Ausgedruckt am: 24.04.2025 um 00:04 Uhr
9 Kommentare
Neuester Kommentar
Hi,
das Passwort ist nirgends gespeichert.
Jeder Windows Computer speichert standardmäßig die letzten 10 erfolgreichen Anmeldungen von Domänen-Konten zwischen. Dabei werden der Benutzername (Domäne\Benutzer) und der Hash des Passworts lokal gespeichert.
Meldet sich ein Domänenbenutzer an, so versucht der Computer zunächst immer erst einen Domaincontroller der betreffenden Domäne zu erreichen. Erst wenn das nicht geht, nimmt er das eingegebene Passwort, berechnet den Hash davon und vergleicht den eingegebenen Benutzernamen + Hash mit den lokal zwischengespeicherten Anmeldungen. Wenn er einen Treffer hat, dann gilt der Benutzer als authentifiziert. Zusätzlich werden noch seine letzten Gruppenmitgliedschaften zwischengespeichert, damit er auch bei Offline-Anmeldung alle über die Gruppen erteilten Zugriffsrechte behält.
E.
das Passwort ist nirgends gespeichert.
Jeder Windows Computer speichert standardmäßig die letzten 10 erfolgreichen Anmeldungen von Domänen-Konten zwischen. Dabei werden der Benutzername (Domäne\Benutzer) und der Hash des Passworts lokal gespeichert.
Meldet sich ein Domänenbenutzer an, so versucht der Computer zunächst immer erst einen Domaincontroller der betreffenden Domäne zu erreichen. Erst wenn das nicht geht, nimmt er das eingegebene Passwort, berechnet den Hash davon und vergleicht den eingegebenen Benutzernamen + Hash mit den lokal zwischengespeicherten Anmeldungen. Wenn er einen Treffer hat, dann gilt der Benutzer als authentifiziert. Zusätzlich werden noch seine letzten Gruppenmitgliedschaften zwischengespeichert, damit er auch bei Offline-Anmeldung alle über die Gruppen erteilten Zugriffsrechte behält.
E.
Hallo,
an dem Laptop war aber auch mal der Domänenadmin angemeldet gewesen oder?
Also greift das selbe wie beim anmelden mit dem normalen Benutzerkonto > die zwischengespeicherte Anmeldung.
Auf dem Laptop sollte ein lokales Adminkonto angelet werden und Installationen n dessen Kontext gemacht werden oder halt nur in der Firma vom Admin/die Softwareverteilung.
Gruß
Chonta
an dem Laptop war aber auch mal der Domänenadmin angemeldet gewesen oder?
Also greift das selbe wie beim anmelden mit dem normalen Benutzerkonto > die zwischengespeicherte Anmeldung.
Auf dem Laptop sollte ein lokales Adminkonto angelet werden und Installationen n dessen Kontext gemacht werden oder halt nur in der Firma vom Admin/die Softwareverteilung.
Gruß
Chonta
Danke,
das erklärt das System. Aber wo ist der Hash gespeichert? Ich glaube nicht in der SAM und eine Datei NTDS kann ich nicht finden.
Es ist hier nicht lebenswichtig, aber manchmal interessiert mich etwas und ich möchte die Antwort wissen.
Jacob
das erklärt das System. Aber wo ist der Hash gespeichert? Ich glaube nicht in der SAM und eine Datei NTDS kann ich nicht finden.
Es ist hier nicht lebenswichtig, aber manchmal interessiert mich etwas und ich möchte die Antwort wissen.
Jacob
Moin Chonta,
ich kann es nicht mit Sicherheit sagen ob der DOM-Admin mal angemeldet war, ich mache meistens meine Rechner mit lokaler Anmeldung fertig, aktiviere die Software und melde die dann an die Domain an.
Ich kann im Userverzeichnis zwar ein Verzeichnis sehen was zum DOM-Admin gehört, aber das prüfe ich gleich mal zum Spaß.
Wie gesagt, mich interessiert wo die Daten gespeichert werden.
Gruß
Jacob
ich kann es nicht mit Sicherheit sagen ob der DOM-Admin mal angemeldet war, ich mache meistens meine Rechner mit lokaler Anmeldung fertig, aktiviere die Software und melde die dann an die Domain an.
Ich kann im Userverzeichnis zwar ein Verzeichnis sehen was zum DOM-Admin gehört, aber das prüfe ich gleich mal zum Spaß.
Wie gesagt, mich interessiert wo die Daten gespeichert werden.
Gruß
Jacob
https://technet.microsoft.com/en-us/library/hh994565(v=ws.11).aspx
http://serverfault.com/questions/454580/how-are-cached-windows-credenti ...
These verifiers are not credentials because they cannot be presented to another computer for authentication, and they can only be used to locally verify a credential. They are stored in the registry on the local computer and provide credentials validation when a domain-joined computer cannot connect to AD DS during a user’s logon. These “cached logons” or more specifically, cached domain account information, can be managed using the security policy setting Interactive logon: Number of previous logons to cache (in case domain controller is not available).
http://serverfault.com/questions/454580/how-are-cached-windows-credenti ...
Only the "system" user has access to the registry keys:
HKLM\Security\Cache\NL$n where n is an index 1 to the maximum number of cached credentials.
HKLM\Security\Cache\NL$n where n is an index 1 to the maximum number of cached credentials.
ich kann es nicht mit Sicherheit sagen ob der DOM-Admin mal angemeldet war,
Doch, war er, da Du Dich sonst nicht offline mit diesem Konto hättest anmelden können.
Moin,
hast Recht. Habe ein neues Notebook genommen, Der Lokaler Admin heisst eindeutig anders als der DOM-Admin.
Dieser Rechner habe ich in der Domain aufgenommen.
Dann als DOM-User ohne Admin-Rechte angemeldet. Software-Installation klappte nicht.
Im Benutzer-Verzeichnis war "nur" der DOM-User dazu gekommen.
Dann als DOM-Admin angemeldet und wieder abgemeldet, Neustart.
Im Benutzer-Verzeichnis war jetzt ein Verzeichnis für den DOM-Admin dazugekommen.
Dann als DOM-User offline angemeldet, klappte.
Software-Installation gestartet, musste Username und Passwort vom DOM-Admin angeben und die Installation klappte.
Also das wäre die Voraussetzung, der DOM-Admin muss mindestens einmal angemeldet sein.
Und das DOM-Admin-Passwort (Der Hash) wird, wenn ich emeriks richtig verstehe ind der regestry gespeichert.
Danke an Allen,
Jacob
hast Recht. Habe ein neues Notebook genommen, Der Lokaler Admin heisst eindeutig anders als der DOM-Admin.
Dieser Rechner habe ich in der Domain aufgenommen.
Dann als DOM-User ohne Admin-Rechte angemeldet. Software-Installation klappte nicht.
Im Benutzer-Verzeichnis war "nur" der DOM-User dazu gekommen.
Dann als DOM-Admin angemeldet und wieder abgemeldet, Neustart.
Im Benutzer-Verzeichnis war jetzt ein Verzeichnis für den DOM-Admin dazugekommen.
Dann als DOM-User offline angemeldet, klappte.
Software-Installation gestartet, musste Username und Passwort vom DOM-Admin angeben und die Installation klappte.
Also das wäre die Voraussetzung, der DOM-Admin muss mindestens einmal angemeldet sein.
Und das DOM-Admin-Passwort (Der Hash) wird, wenn ich emeriks richtig verstehe ind der regestry gespeichert.
Danke an Allen,
Jacob
korrekt
Hi.
Und nun mußt du dir die Frage gefallen lassen, ob du weißt, was das Hashspeichern für Gefahren birgt.
Setze deine Domäne nicht solchen Risiken aus, nutze "normale" Admins.
Und nun mußt du dir die Frage gefallen lassen, ob du weißt, was das Hashspeichern für Gefahren birgt.
Setze deine Domäne nicht solchen Risiken aus, nutze "normale" Admins.
