URL: https://www.overclockers.at/applications/im_unternehmen_admin_passwort_aendern_188435/page_1 - zur Vollversion wechseln!
aus sicherheitsgründen möchten wir nun nach langer zeit gerne unser admin passwort ändern. nun gibts da natürlich probleme. 30 server mit hunderten diensten die man checken muss, 200 clients die alle geändert werden müssen. die ganze struktur ist über sehr lange zeit allmählich gewachsen. wer weiss wo das passwort nun überall fix drin steht, welcher minidienst auf welchen drecksserver unterm admin account rennt.
und zum glück haben wir nix dokumentiert 
ich hab ehrlich momentan keine ahnung wie ich das nun am besten angehen soll.. gibts da prozeduren oder vllt sogar tools dazu?
vielleicht hat einer vorschläge oder ideen wie wir das am besten angehen sollen ausser einfach ändern anfangen und schaun wo es die sachen aufbirnt
Wie ihr eurer jetziges Problem loesen wollt, arbeite ich euch gerne auf werkvertraglicher Basis gegen einen stattlichen Obulus aus 
Fuer die Zukunft solltet ihr aber jedenfalls auf eine CA-gestuetzte Publickey-Infrastruktur zur Authentifikation/Authorisation setzen, in der man jedes authentifizierende Keypair einzeln revoken kann. Was ihr dafuer braucht, haengt massiv von den eingesetzten Plattformen ab.
ich hätte gern nur tipps, keine vollständige strategie. du wärst uns sicher zu teuer
umgebung ist windows 2000/2003/XP. das wir das künftig anders handhaben werden is klar, aber jetzt müssen wir uns erstmal aus dem gegenwärtigen schlamassel ziehen
Falls ihr eine Domain mit serverprofilen habt, könntet ihr einen logonscript schreiben, das ganze sollte mit einen cscript einfach zu realisieren sein.
Auch die Dienste könnten per Script überprüft werden.
Natürlich nur unter windows 
geht es um lokale Adminpasswörter oder um Domänenadministratoren ?
beides.
geht mir halt hauptsächlich um die maschinen die ned in der domain liegen, dienste und die lokalen adminaccounts auf den ganzen desktops und co
Warum gibt es überhaupt Rechner die nicht in der Domain sind? Für die Zukunft würd' ich sagen: alle Rechner rein in die Domain und sowas nur noch per Active Directory behandeln.
Für dein derzeitiges Problem gibt es mehrere Lösungsansätze, eine Möglichkeit wäre alle Rechner in die Domäne zu hängen, sich überall als Domänenadministrator, mit neuem Passwort anzumelden und das alte (lokale) Adminkonto einfach zu löschen. Das könnte man natürlich auch automatisieren.
omg, wie konnte das nur zustande kommen ? der administrationsaufwand muss ja enorm sein ..
habt ihr nicht alle hände voll zu tun dieses patchwork am laufen zu halten ?
wie sichert ihr überhaupt ??
die arbeit zu jeder maschine hinzugehen und das passwort per hand jeweils zu ändern ist garnicht mal so das problem.
wenn du vor hast den sauhaufen in zukunft nicht weiterzuführen, und alle maschinen in die domäne gibst bzw alle lokalen user im AD anzulegen .. bist du schonmal eine Woche dran.
dann aber noch die ganzen benutzerprofile in die domain übernehmen und dienste kontrollieren wird wohl ein ganzes monat dauern
an die drucker und emailkonten will ich garnicht denken.
die einzige lösung wird wohl sein mal mit den servern anzufangen, sind die alle in einer domänenstruktur ?
dienste checken, AD sauber anlegen .. user, drucker, mailsystem, netzlaufwerke, ..
eventuell übergangsmässig arschoffene shares einrichten, damit überhaupt noch irgendwer irgendwo gemeinsam speichern und austauschen kann.
ich weiss nicht wie das unternehmen strukturiert ist ..
vermutlich wirst du abteilung für abteilung übernehmen müssen um die ausfallzeiten und zugriffsprobleme knapp zu halten.
dienste kannst du laut evermind per script checken und umstellen. profile übernehmen müsste auch automatisierbar sein, emailkonten und drucker könnte schwierig werden.
machbar ist es .. bei uns geht auch alles automatisch .. der aufwand es zu automatisieren wird aber grösser sein als der es per hand zu machen.
überleg mal welche entwicklungsarbeit notwendig ist, bis die scripts fehlerfrei laufen und aufs netz losgelassen werden können.
ich weiss nicht welcher coder was macht, aber pi mal daumen haben wir wohl 150 programmierer angestellt (allerdings 20.000 rechner)
naja ka, bin immernoch baff von dem ausmass des chaos, versuch mal in etwas rauszufinden wieviele rechner wirklich nicht in der domäne hängen bzw umgekehrt, schau im AD wieviele drinnen sind. vielleicht ists weniger schlimm als befürchtet ..
Mfg fEW
ps: wenigstens bist du vorerst mal vor personalabbaumassnahmen sicher
Zitat von Umlüxbeides.
geht mir halt hauptsächlich um die maschinen die ned in der domain liegen, dienste und die lokalen adminaccounts auf den ganzen desktops und co
hehe. naja ich denk ganz so schlimm wirds ned sein wie gesagt, über jahre gewachsen ohne richtigen konzept und doku. in der domain hängt ja wohl fast alles (immerhin alle desktops, ausser eine handvoll server. hat aber auch damit zu tun dass wir bis vor <2 jahren noch novell am laufen hatten und kein AD).
Die Server booten alle vom lokalen admin. das könnte man ändern, ja. aber es gibt ja auch auf jeden desktop einen lokalen admin. ich sorg mich hauptsächlich um die ganzen dienste. jeden einzeln durchzusehen unter was er rennt ist sicher enorm zeitaufwändig.
erstmal danke. ich werd mich da einfach mal langsam rantasten
Ich wuerde dir wirklich raten Consulting einzukaufen. Du hast, wie man an diesem Thread erkennen kann, zu wenig Know-How. (Bitte nicht persoenlich nehmen).
Passwort an den Servern einfach ändern, beim Telefon warten und 3 Schanis engagieren, die den aufgebrachten Usern erläutern, warum ihre Drucker/Netzlaufwerke/wwi nicht mehr erreichbar sind
Im Ernst: Bei so ner großen Firma würde ich mal 2 Wochen Betriebsurlaub geben und mit ner Consultingfirma im Rücken die ganze Infrastruktur neu aufbauen. Muss ja ein wahnsinns Administrationsaufwand sein so wies jetzt "läuft"..
Man brauchts ja nicht uebertreiben, Umluex, schick mir eine mail, wenn du genauere Antworten brauchst
und das alles für ein dummes PW ..
zu meiner verteidigung, ich bin erst seit 2 jahren bei der firma, als wir grad von der nds gewechselt haben. bin also fast unschuldig 
ihr seit vor 2 jahren von novell auf ad gewechselt? und du bist erst seit 2 jahren bei der firma
overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025