none
Windows 2008 Passwort Wechsel - was passiert mit Services und Scheduled Tasks? RRS feed

  • Frage

  • Hallo,

    wir haben hier das Problem dass wir plötzlich das Passwort für unseren Admin User regelmässig ändern müssen.

    Wir benutzen diesen User für Scheduled Tasks, spezielle Windows Services, SQL Server Service, Sharepoint usw.

    Es handelt sich um Windows 2008 R2.

    Nun wissen wir noch nicht was das für Auswirkungen haben wird. Müssen wir alle Scheduled Tasks und Services neu speichern und das neue PW angeben?

    Bei Sharepoint ist das so, das wissen wir (via stsadm). Leider haben wir bis jetzt keine entsprechende Testumgebung wo wir das testen können.

    Weiss da jemand Bescheid?

    Danke & Gruss

    Dienstag, 4. September 2012 16:23

Antworten

  • Hallo pakko78,
     
    Wenn Ihr das Passwort ändert müssen alle Dienste, Konten, Skripts etc. natürlich
    auch geändert werden.
     
    Für Dienste-Konten ist es angeraten jeweils ein Konto pro Dienst etc. anzulegen
    mit einem EIGENEN PASSWORT welches sehr lang und kompliziert ist. Falls Euer
    bestehendes Passwort geknackt wird, ist Euer ganzes System offen wie ein
    Scheunentor.
     
    Desweiteren sollen Dienste Konten etc. NIEMALS mit einem Freifahrtschein
    als Administrator konfiguriert werden. Nehmt Euch die Zeit und definiert
    NUR die benötigten Rechte damit ein normales Benutzer-Konto benutzt werden
    kann. Ich weiß, das dauert, ist aber sicherer als Eure Lösung.
     
    Mit Windows Server 2012 gibt es ebenfalls die neue Option der gMSAs(group
     
    Unter Windows Server 2008 R2 gab es die auch schon allerdings mit Einschränkungen,
    die mit Windows Server 2012 aufgehoben wurden. http://technet.microsoft.com/de-de/library/dd548356(WS.10).aspx
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Dienstag, 4. September 2012 17:11

Alle Antworten

  • Hallo pakko78,
     
    Wenn Ihr das Passwort ändert müssen alle Dienste, Konten, Skripts etc. natürlich
    auch geändert werden.
     
    Für Dienste-Konten ist es angeraten jeweils ein Konto pro Dienst etc. anzulegen
    mit einem EIGENEN PASSWORT welches sehr lang und kompliziert ist. Falls Euer
    bestehendes Passwort geknackt wird, ist Euer ganzes System offen wie ein
    Scheunentor.
     
    Desweiteren sollen Dienste Konten etc. NIEMALS mit einem Freifahrtschein
    als Administrator konfiguriert werden. Nehmt Euch die Zeit und definiert
    NUR die benötigten Rechte damit ein normales Benutzer-Konto benutzt werden
    kann. Ich weiß, das dauert, ist aber sicherer als Eure Lösung.
     
    Mit Windows Server 2012 gibt es ebenfalls die neue Option der gMSAs(group
     
    Unter Windows Server 2008 R2 gab es die auch schon allerdings mit Einschränkungen,
    die mit Windows Server 2012 aufgehoben wurden. http://technet.microsoft.com/de-de/library/dd548356(WS.10).aspx
     
    Best regards
     
    Meinolf Weber
    Disclaimer: This posting is provided "AS IS" with no warranties, and confers
    no rights.
    ** Please do NOT email, only reply to the Forum
    ** Send from Omea Reader 2.2
     
     

    Best regards

    Meinolf Weber
    MVP, MCP, MCTS
    Microsoft MVP - Directory Services
    My Blog: http://msmvps.com/blogs/mweber/

    Disclaimer: This posting is provided AS IS with no warranties or guarantees and confers no rights.

    Dienstag, 4. September 2012 17:11
  • Hallo,

    Danke Meinolf für Deine Antwort.

    Wir haben den Passwortwechsel nun hinter uns. Es ist so wie Meinolf gemeint hat.

    All das mussten wir manuell machen (auf 13 Servern!):

    - [UnserGottAccount] Windows Passwort ändern
    - SQL Server [UnserGottAccount] Passwort ändern (Security\Credentials)
    - Scheduled Tasks neu speichern die unter [UnserGottAccount] laufen
    - Windows Services neu speichern die unter [UnserGottAccount] laufen
    - Schedule Verzeichnis find replace (filter *.cmd *.bat *.xml *.config)
    - Inetpub Verzeichnis find replace (filter *.cmd *.bat *.xml *.config)
    - Sharepoint anpassen. Bei allen [UnserGottAccount] Applicationpools das neue PW registriert.
    - Nintex Settings (falls [UnserGottAccount] eingetragen ist)

    Wir schreiben nun ein Tool welches diese arbeiten beim nächsten Wechsel in 90 Tagen automatisch für uns erledigt ;-)

    Sicher ist das nicht optimal mit dem einen GottAccount aber es ist Realität und macht uns das Leben erheblich einfacher.
    Zudem bewegen wir uns im Intranet.


    Dienstag, 11. September 2012 16:10