Benutzer das Recht zur Kennwortänderung im AD geben

1. offizieller Beitrag

    Hallo Forum!


    Ein Benutzer soll im AD angelegt werden, der sich am Domänencontroller anmelden kann und das Recht hat, Kennwörter zurückzusetzen, insbesondere das Admin-Kennwort. Mehr Rechte soll dieser Benutzer aber nicht haben. Ist dies möglich bzw. in welcher Gruppe müßte dieser Benutzer Mitglied sein? Kann man einem Benutzer so ein Recht einzeln zuweisen?

    • Offizieller Beitrag

    Prinzipiell geht sowas. Ich hab da mal was vorbereitet:
    http://www.gruppenrichtlinien.…ktverwaltung_speziell.htm


    Problem ist allerdings in deinem Fall, dass der Administrator, bzw. Mitglieder von Administrativen Gruppen durch den AdminSDHolder geschützt werden. Sprich da funktioniert obiges nicht so ohne Weiteres. Zusätzlich hast du ausserdem das Problem, dass jemand der ein Kennwort für den Admin festlegen kann, sich logischerweise auch als Admin anmelden kann (er kennt ja das Kennwort), und damit braucht er dann auch keine Delegation... Du verstehst, was ich meine oder?


    Bye
    Norbert

    Hallo Norbert,


    das Ganze soll für den Notfall sein. Unser Chef möchte gern sämtliche Paßwörter in einem verschlossenen Umschlag hinterlegt haben. Da ich unterstelle, daß dieser Umschlag auch ohne Notfall geöffnet wird, soll darin ein Benutzer stehen, der dann die Paßwörter an den entsprechenden Administrationskonten zurücksetzten kann. Der Vorteil wäre, daß jemand, der sich dann mit dem "Notfallkonto" am Server anmeldet, nichts ausrichten kann (außer eben Kennwörter zurücksetzen) und ich es dann mitbekommen würde, wenn sich jemand ein Administratorkonto freischaltet, denn ich könnte mich ja dann auch nicht mehr am Server anmelden, sollte mein Paßwort geändert worden sein.


    Ist mein Vorhaben grundsätzlich möglich?

    • Offizieller Beitrag
    Zitat


    Ist mein Vorhaben grundsätzlich möglich?


    Nein. Alles was das werden würde, wäre Gebastel. Umschläge sollten dann in diesem Fall nur nach dem 4 Augenprinzip zu öffnen sein, bzw. es muß zwei Umschläge mit je dem halben Kennwort geben. Davon bekommst du (oder das Bankschließfch) einen Umschlag und der andere liegt im Safe oder ähnliches.


    HTH
    Norbert


    PS: Irgendwas stimmt sowieso nicht in der Vorgehensweise die du beschreibst. Normalerweise wird das aktuelle Adminkennwort hinterlegt, bzw. ein zweiter Administrator angelegt dessen Kennwort hinterlegt wird.

    Hallo Norbert,


    Zitat

    PS: Irgendwas stimmt sowieso nicht in der Vorgehensweise die du beschreibst. Normalerweise wird das aktuelle Adminkennwort hinterlegt, bzw. ein zweiter Administrator angelegt dessen Kennwort hinterlegt wird.


    Es stimmt Einiges nicht in den Vorgehensweisen. Darüber möchte ich hier aber nicht diskutieren. Es ist Einiges im Argen....


    Das mit dem zweiten Administrator habe ich mir auch schon überlegt. Ist es möglich, daß man per Email darüber informiert wird, wenn sich jemand mit dem zweiten Administrator an irgendeinem Server oder Client in der Domäne anmeldet, sich also die Benutzerdaten z.B. durch Öffnen des hinterlegten Umschlags beschafft hat?