im unternehmen admin passwort ändern

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9014

28.11.2007 - 14:57

aus sicherheitsgründen möchten wir nun nach langer zeit gerne unser admin passwort ändern. nun gibts da natürlich probleme. 30 server mit hunderten diensten die man checken muss, 200 clients die alle geändert werden müssen. die ganze struktur ist über sehr lange zeit allmählich gewachsen. wer weiss wo das passwort nun überall fix drin steht, welcher minidienst auf welchen drecksserver unterm admin account rennt.
und zum glück haben wir nix dokumentiert

ich hab ehrlich momentan keine ahnung wie ich das nun am besten angehen soll.. gibts da prozeduren oder vllt sogar tools dazu?
vielleicht hat einer vorschläge oder ideen wie wir das am besten angehen sollen ausser einfach ändern anfangen und schaun wo es die sachen aufbirnt

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12146

28.11.2007 - 15:03

Wie ihr eurer jetziges Problem loesen wollt, arbeite ich euch gerne auf werkvertraglicher Basis gegen einen stattlichen Obulus aus

Fuer die Zukunft solltet ihr aber jedenfalls auf eine CA-gestuetzte Publickey-Infrastruktur zur Authentifikation/Authorisation setzen, in der man jedes authentifizierende Keypair einzeln revoken kann. Was ihr dafuer braucht, haengt massiv von den eingesetzten Plattformen ab.

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9014

28.11.2007 - 15:19

ich hätte gern nur tipps, keine vollständige strategie. du wärst uns sicher zu teuer

umgebung ist windows 2000/2003/XP. das wir das künftig anders handhaben werden is klar, aber jetzt müssen wir uns erstmal aus dem gegenwärtigen schlamassel ziehen

evrmnd

OC Addicted

Registered: Nov 2002
Location:
Posts: 3534

28.11.2007 - 15:23

Falls ihr eine Domain mit serverprofilen habt, könntet ihr einen logonscript schreiben, das ganze sollte mit einen cscript einfach zu realisieren sein.

Auch die Dienste könnten per Script überprüft werden.

Natürlich nur unter windows

Bearbeitet von evrmnd am 28.11.2007, 15:26

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6562

28.11.2007 - 15:30

geht es um lokale Adminpasswörter oder um Domänenadministratoren ?

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9014

28.11.2007 - 15:40

beides.
geht mir halt hauptsächlich um die maschinen die ned in der domain liegen, dienste und die lokalen adminaccounts auf den ganzen desktops und co

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6562

28.11.2007 - 15:50

Warum gibt es überhaupt Rechner die nicht in der Domain sind? Für die Zukunft würd' ich sagen: alle Rechner rein in die Domain und sowas nur noch per Active Directory behandeln.

Für dein derzeitiges Problem gibt es mehrere Lösungsansätze, eine Möglichkeit wäre alle Rechner in die Domäne zu hängen, sich überall als Domänenadministrator, mit neuem Passwort anzumelden und das alte (lokale) Adminkonto einfach zu löschen. Das könnte man natürlich auch automatisieren.

Bearbeitet von mr.nice. am 28.11.2007, 15:56

FrankEdwinWrigh

stuck on the outside

Registered: Nov 2002
Location: im 21. Jhdt.
Posts: 2507

28.11.2007 - 22:05

omg, wie konnte das nur zustande kommen ? der administrationsaufwand muss ja enorm sein ..
habt ihr nicht alle hände voll zu tun dieses patchwork am laufen zu halten ?
wie sichert ihr überhaupt ??

die arbeit zu jeder maschine hinzugehen und das passwort per hand jeweils zu ändern ist garnicht mal so das problem.

wenn du vor hast den sauhaufen in zukunft nicht weiterzuführen, und alle maschinen in die domäne gibst bzw alle lokalen user im AD anzulegen .. bist du schonmal eine Woche dran.

dann aber noch die ganzen benutzerprofile in die domain übernehmen und dienste kontrollieren wird wohl ein ganzes monat dauern

an die drucker und emailkonten will ich garnicht denken.

die einzige lösung wird wohl sein mal mit den servern anzufangen, sind die alle in einer domänenstruktur ?
dienste checken, AD sauber anlegen .. user, drucker, mailsystem, netzlaufwerke, ..
eventuell übergangsmässig arschoffene shares einrichten, damit überhaupt noch irgendwer irgendwo gemeinsam speichern und austauschen kann.

ich weiss nicht wie das unternehmen strukturiert ist ..
vermutlich wirst du abteilung für abteilung übernehmen müssen um die ausfallzeiten und zugriffsprobleme knapp zu halten.

dienste kannst du laut evermind per script checken und umstellen. profile übernehmen müsste auch automatisierbar sein, emailkonten und drucker könnte schwierig werden.

machbar ist es .. bei uns geht auch alles automatisch .. der aufwand es zu automatisieren wird aber grösser sein als der es per hand zu machen.
überleg mal welche entwicklungsarbeit notwendig ist, bis die scripts fehlerfrei laufen und aufs netz losgelassen werden können.
ich weiss nicht welcher coder was macht, aber pi mal daumen haben wir wohl 150 programmierer angestellt

(allerdings 20.000 rechner)

naja ka, bin immernoch baff von dem ausmass des chaos, versuch mal in etwas rauszufinden wieviele rechner wirklich nicht in der domäne hängen bzw umgekehrt, schau im AD wieviele drinnen sind. vielleicht ists weniger schlimm als befürchtet ..

Mfg fEW

ps: wenigstens bist du vorerst mal vor personalabbaumassnahmen sicher

spunz

Elder
Elder

Registered: Aug 2000
Location: achse des bösen
Posts: 11295

29.11.2007 - 07:43

Zitat von Umlüx
beides.
geht mir halt hauptsächlich um die maschinen die ned in der domain liegen, dienste und die lokalen adminaccounts auf den ganzen desktops und co

lokale konten mit/ohne domain => psexec

dienste => eigene service accounts im ad anlegen

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9014

29.11.2007 - 08:15

hehe. naja ich denk ganz so schlimm wirds ned sein

wie gesagt, über jahre gewachsen ohne richtigen konzept und doku. in der domain hängt ja wohl fast alles (immerhin alle desktops, ausser eine handvoll server. hat aber auch damit zu tun dass wir bis vor <2 jahren noch novell am laufen hatten und kein AD).
Die Server booten alle vom lokalen admin. das könnte man ändern, ja. aber es gibt ja auch auf jeden desktop einen lokalen admin. ich sorg mich hauptsächlich um die ganzen dienste. jeden einzeln durchzusehen unter was er rennt ist sicher enorm zeitaufwändig.
erstmal danke. ich werd mich da einfach mal langsam rantasten

HP

Legend
Legend

Registered: Mar 2000
Location: -
Posts: 21822

29.11.2007 - 12:10

Ich wuerde dir wirklich raten Consulting einzukaufen. Du hast, wie man an diesem Thread erkennen kann, zu wenig Know-How. (Bitte nicht persoenlich nehmen).

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

29.11.2007 - 12:25

Passwort an den Servern einfach ändern, beim Telefon warten und 3 Schanis engagieren, die den aufgebrachten Usern erläutern, warum ihre Drucker/Netzlaufwerke/wwi nicht mehr erreichbar sind

Im Ernst: Bei so ner großen Firma würde ich mal 2 Wochen Betriebsurlaub geben und mit ner Consultingfirma im Rücken die ganze Infrastruktur neu aufbauen. Muss ja ein wahnsinns Administrationsaufwand sein so wies jetzt "läuft"..

Bearbeitet von Obermotz am 29.11.2007, 12:42

HP

Legend
Legend

Registered: Mar 2000
Location: -
Posts: 21822

29.11.2007 - 12:30

Man brauchts ja nicht uebertreiben, Umluex, schick mir eine mail, wenn du genauere Antworten brauchst

Umlüx

Huge Metal Fan

Registered: Jun 2001
Location: Kärnten
Posts: 9014

29.11.2007 - 13:14

und das alles für ein dummes PW ..

zu meiner verteidigung, ich bin erst seit 2 jahren bei der firma, als wir grad von der nds gewechselt haben. bin also fast unschuldig

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15865

29.11.2007 - 13:21

ihr seit vor 2 jahren von novell auf ad gewechselt? und du bist erst seit 2 jahren bei der firma

Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9014	28.11.2007 - 14:57 aus sicherheitsgründen möchten wir nun nach langer zeit gerne unser admin passwort ändern. nun gibts da natürlich probleme. 30 server mit hunderten diensten die man checken muss, 200 clients die alle geändert werden müssen. die ganze struktur ist über sehr lange zeit allmählich gewachsen. wer weiss wo das passwort nun überall fix drin steht, welcher minidienst auf welchen drecksserver unterm admin account rennt. und zum glück haben wir nix dokumentiert ich hab ehrlich momentan keine ahnung wie ich das nun am besten angehen soll.. gibts da prozeduren oder vllt sogar tools dazu? vielleicht hat einer vorschläge oder ideen wie wir das am besten angehen sollen ausser einfach ändern anfangen und schaun wo es die sachen aufbirnt
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12146	28.11.2007 - 15:03 Wie ihr eurer jetziges Problem loesen wollt, arbeite ich euch gerne auf werkvertraglicher Basis gegen einen stattlichen Obulus aus Fuer die Zukunft solltet ihr aber jedenfalls auf eine CA-gestuetzte Publickey-Infrastruktur zur Authentifikation/Authorisation setzen, in der man jedes authentifizierende Keypair einzeln revoken kann. Was ihr dafuer braucht, haengt massiv von den eingesetzten Plattformen ab.
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9014	28.11.2007 - 15:19 ich hätte gern nur tipps, keine vollständige strategie. du wärst uns sicher zu teuer umgebung ist windows 2000/2003/XP. das wir das künftig anders handhaben werden is klar, aber jetzt müssen wir uns erstmal aus dem gegenwärtigen schlamassel ziehen
evrmnd OC Addicted Registered: Nov 2002 Location: Posts: 3534	28.11.2007 - 15:23 Falls ihr eine Domain mit serverprofilen habt, könntet ihr einen logonscript schreiben, das ganze sollte mit einen cscript einfach zu realisieren sein. Auch die Dienste könnten per Script überprüft werden. Natürlich nur unter windows Bearbeitet von evrmnd am 28.11.2007, 15:26
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6562	28.11.2007 - 15:30 geht es um lokale Adminpasswörter oder um Domänenadministratoren ?
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9014	28.11.2007 - 15:40 beides. geht mir halt hauptsächlich um die maschinen die ned in der domain liegen, dienste und die lokalen adminaccounts auf den ganzen desktops und co
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6562	28.11.2007 - 15:50 Warum gibt es überhaupt Rechner die nicht in der Domain sind? Für die Zukunft würd' ich sagen: alle Rechner rein in die Domain und sowas nur noch per Active Directory behandeln. Für dein derzeitiges Problem gibt es mehrere Lösungsansätze, eine Möglichkeit wäre alle Rechner in die Domäne zu hängen, sich überall als Domänenadministrator, mit neuem Passwort anzumelden und das alte (lokale) Adminkonto einfach zu löschen. Das könnte man natürlich auch automatisieren. Bearbeitet von mr.nice. am 28.11.2007, 15:56
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	28.11.2007 - 22:05 omg, wie konnte das nur zustande kommen ? der administrationsaufwand muss ja enorm sein .. habt ihr nicht alle hände voll zu tun dieses patchwork am laufen zu halten ? wie sichert ihr überhaupt ?? die arbeit zu jeder maschine hinzugehen und das passwort per hand jeweils zu ändern ist garnicht mal so das problem. wenn du vor hast den sauhaufen in zukunft nicht weiterzuführen, und alle maschinen in die domäne gibst bzw alle lokalen user im AD anzulegen .. bist du schonmal eine Woche dran. dann aber noch die ganzen benutzerprofile in die domain übernehmen und dienste kontrollieren wird wohl ein ganzes monat dauern an die drucker und emailkonten will ich garnicht denken. die einzige lösung wird wohl sein mal mit den servern anzufangen, sind die alle in einer domänenstruktur ? dienste checken, AD sauber anlegen .. user, drucker, mailsystem, netzlaufwerke, .. eventuell übergangsmässig arschoffene shares einrichten, damit überhaupt noch irgendwer irgendwo gemeinsam speichern und austauschen kann. ich weiss nicht wie das unternehmen strukturiert ist .. vermutlich wirst du abteilung für abteilung übernehmen müssen um die ausfallzeiten und zugriffsprobleme knapp zu halten. dienste kannst du laut evermind per script checken und umstellen. profile übernehmen müsste auch automatisierbar sein, emailkonten und drucker könnte schwierig werden. machbar ist es .. bei uns geht auch alles automatisch .. der aufwand es zu automatisieren wird aber grösser sein als der es per hand zu machen. überleg mal welche entwicklungsarbeit notwendig ist, bis die scripts fehlerfrei laufen und aufs netz losgelassen werden können. ich weiss nicht welcher coder was macht, aber pi mal daumen haben wir wohl 150 programmierer angestellt (allerdings 20.000 rechner) naja ka, bin immernoch baff von dem ausmass des chaos, versuch mal in etwas rauszufinden wieviele rechner wirklich nicht in der domäne hängen bzw umgekehrt, schau im AD wieviele drinnen sind. vielleicht ists weniger schlimm als befürchtet .. Mfg fEW ps: wenigstens bist du vorerst mal vor personalabbaumassnahmen sicher
spunz Elder Elder Registered: Aug 2000 Location: achse des bösen Posts: 11295	29.11.2007 - 07:43 Zitat von Umlüx beides. geht mir halt hauptsächlich um die maschinen die ned in der domain liegen, dienste und die lokalen adminaccounts auf den ganzen desktops und co lokale konten mit/ohne domain => psexec dienste => eigene service accounts im ad anlegen
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9014	29.11.2007 - 08:15 hehe. naja ich denk ganz so schlimm wirds ned sein wie gesagt, über jahre gewachsen ohne richtigen konzept und doku. in der domain hängt ja wohl fast alles (immerhin alle desktops, ausser eine handvoll server. hat aber auch damit zu tun dass wir bis vor <2 jahren noch novell am laufen hatten und kein AD). Die Server booten alle vom lokalen admin. das könnte man ändern, ja. aber es gibt ja auch auf jeden desktop einen lokalen admin. ich sorg mich hauptsächlich um die ganzen dienste. jeden einzeln durchzusehen unter was er rennt ist sicher enorm zeitaufwändig. erstmal danke. ich werd mich da einfach mal langsam rantasten
HP Legend Legend Registered: Mar 2000 Location: - Posts: 21822	29.11.2007 - 12:10 Ich wuerde dir wirklich raten Consulting einzukaufen. Du hast, wie man an diesem Thread erkennen kann, zu wenig Know-How. (Bitte nicht persoenlich nehmen).
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	29.11.2007 - 12:25 Passwort an den Servern einfach ändern, beim Telefon warten und 3 Schanis engagieren, die den aufgebrachten Usern erläutern, warum ihre Drucker/Netzlaufwerke/wwi nicht mehr erreichbar sind Im Ernst: Bei so ner großen Firma würde ich mal 2 Wochen Betriebsurlaub geben und mit ner Consultingfirma im Rücken die ganze Infrastruktur neu aufbauen. Muss ja ein wahnsinns Administrationsaufwand sein so wies jetzt "läuft".. Bearbeitet von Obermotz am 29.11.2007, 12:42
HP Legend Legend Registered: Mar 2000 Location: - Posts: 21822	29.11.2007 - 12:30 Man brauchts ja nicht uebertreiben, Umluex, schick mir eine mail, wenn du genauere Antworten brauchst
Umlüx Huge Metal Fan Registered: Jun 2001 Location: Kärnten Posts: 9014	29.11.2007 - 13:14 und das alles für ein dummes PW .. zu meiner verteidigung, ich bin erst seit 2 jahren bei der firma, als wir grad von der nds gewechselt haben. bin also fast unschuldig
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15865	29.11.2007 - 13:21 ihr seit vor 2 jahren von novell auf ad gewechselt? und du bist erst seit 2 jahren bei der firma

im unternehmen admin passwort ändern

Forum Index > Software > Applications, Apps & Drivers

Umlüx

COLOSSUS

Umlüx

evrmnd

mr.nice.

Umlüx

mr.nice.

FrankEdwinWrigh

spunz

Umlüx

HP

Obermotz

HP

Umlüx

userohnenamen