Remove From My Forums

SBS2003 alternativer Administrator - seltsames Verhalten

Frage
0

Anmelden

Auf einem SBS2003 habe ich schon seit einiger Zeit den "echten" Administrator deaktiviert und dafür zwei weitere Administratoren angelegt (mit genau den gelichen Gruppenzugehörigkeiten (Domänen-Admins, usw..) wie der echte) ich dachte da an Sicherheit usw...

Das schien auch seit vielen Monaten gut zu funktionieren, ich konnte mit den beiden Administratoren alles machen was auch mit dem "echten" Administrator ging. Nun habe ich aber folgendes festgestellt:

SBS Best Practices Analyzer Tool zeigt unterschiedlich an!!

Wenn ich als "echter" Administrator angemeldet bin - alles im "grünen" Bereich, keine Warnungen usw.
das gleiche als einer von den beiden anderen: -> WSUS is not integrated with R2; meine Netzwerkkarten seien angeblich zu alt (obwohl ich immer die neuesten Treiber usw installiert habe..)

Auch ist es so, dass einige von der Serverwerwaltungskonsole aufgerufenen Konsolen extrem lange dauern, z.B. "Aktualisierungsdienste" oder "Überwachung und Berichte" wen ich dies als alternativer Administrator mache.

Wenn der Administrator deaktiviert ist kommt es auch beim Starten zu einem (temporären) Fehler "Kerberos konnte nicht gestartet werden" (wird aber etwas später trotzdem gestartet..)

Deswegen meine Frage

Sollte ich das Administratorkonto generell NICHT deaktivieren - evt nur umbenennen ?

Danke im Voraus für Antwort

Samstag, 27. Oktober 2012 09:14

Antworten

|

Zitieren

Antworten

1

Anmelden
Da es sich bei dem vordefiniertem Administrator-Konto um ein spezielles Benutzerkonto mit bekannter SID (Well-known SID - "S-1-5-21-domain-500") und dedizierten Berechtigungen handelt, kann dieser nicht vollständig ersetzt werden - s. als Beispiel auch:

[..]
Microsoft has modified the token generation algorithm in the LSA so that the LSA can create an access token for the Administrator account so that the administrator can log on regardless of how many transitive groups or intransitive groups that the Administrator account is a member of.
[..]
Source: http://support.microsoft.com/kb/328889

Zur Absicherung des Built-In Administrators (SID: "S-1-5-21-domain-500") wäre ggf. folgender Artikel lesenswert:

http://technet.microsoft.com/en-us/library/cc875827.aspx

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Bearbeitet Tobias RedelbergerModerator Samstag, 27. Oktober 2012 09:52
- Als Antwort markiert Peter Mang Samstag, 27. Oktober 2012 11:24
Samstag, 27. Oktober 2012 09:51

Antworten

|

Zitieren

Moderator
1

Anmelden
Ist es - Du musst aber selbst sicherstellen, dass all Deine verwendeten Applikationen damit klar kommen.

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Bearbeitet Tobias RedelbergerModerator Sonntag, 28. Oktober 2012 12:35
- Als Antwort markiert Peter Mang Sonntag, 28. Oktober 2012 20:41
Sonntag, 28. Oktober 2012 12:35

Antworten

|

Zitieren

Moderator

Alle Antworten

1

Anmelden
Da es sich bei dem vordefiniertem Administrator-Konto um ein spezielles Benutzerkonto mit bekannter SID (Well-known SID - "S-1-5-21-domain-500") und dedizierten Berechtigungen handelt, kann dieser nicht vollständig ersetzt werden - s. als Beispiel auch:

[..]
Microsoft has modified the token generation algorithm in the LSA so that the LSA can create an access token for the Administrator account so that the administrator can log on regardless of how many transitive groups or intransitive groups that the Administrator account is a member of.
[..]
Source: http://support.microsoft.com/kb/328889

Zur Absicherung des Built-In Administrators (SID: "S-1-5-21-domain-500") wäre ggf. folgender Artikel lesenswert:

http://technet.microsoft.com/en-us/library/cc875827.aspx

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Bearbeitet Tobias RedelbergerModerator Samstag, 27. Oktober 2012 09:52
- Als Antwort markiert Peter Mang Samstag, 27. Oktober 2012 11:24
Samstag, 27. Oktober 2012 09:51

Antworten

|

Zitieren

Moderator
0

Anmelden

Hallo Tobias,

ist dann das "Umbenennen" des Administators ein gangbarer Weg?

Danke im Voraus

Peter

Samstag, 27. Oktober 2012 11:23

Antworten

|

Zitieren
1

Anmelden
Ist es - Du musst aber selbst sicherstellen, dass all Deine verwendeten Applikationen damit klar kommen.

--

Tobias Redelberger

StarNET Services (HomeOffice)

Frankfurter Allee 193

D-10365 Berlin

Tel: +49 (30) 86 87 02 678

Mobil: +49 (163) 84 74 421

Email: T.Redelberger@starnet-services.net

Web: http://www.starnet-services.net
- Bearbeitet Tobias RedelbergerModerator Sonntag, 28. Oktober 2012 12:35
- Als Antwort markiert Peter Mang Sonntag, 28. Oktober 2012 20:41
Sonntag, 28. Oktober 2012 12:35

Antworten

|

Zitieren

Moderator

Produkte

Resources

Solutions

Updates

Testversionen

Verwandte Websites

Training

Zertifizierungen

Weitere Ressourcen

Für Produkte

Mehr Support

Kein IT-Experte?

Benutzer mit den meisten Antworten

SBS2003 alternativer Administrator - seltsames Verhalten

Frage

Antworten

Alle Antworten