Administrator Account Rezertifizierung

[LordMacBee]

Guten Morgen,

Ich habe kürzlich im Rahmen eines Security Authorings festgestellt, dass eine der wichtigsten Administrator Id's überall rumfliegt. Die id läuft dabei erst in ein zwei Jahren aus und zuviele Benutzer und Externe sind im Besitz der id. Zudem ist die Konfiguration etwas verkorkst und der Benutzer is überall in den Server configs alleiniger berechtigter.
(Bitte nicht fragen warum, mein Vorgänger hat die Sache etwas dilletantisch gehandhabt)

Bevor ich einen neuen Benutzer aufsetze und die Rechte auf meiner gesamten Infrastruktur umbaue (was ich zwar ohnehin machen muss, aber nicht von heute auf morgen geht) hätte ich von euch gerne gewusst, ob ich die bestehende id so neu zertifizieren kann, dass die tausend Instanzen der besagten id keinen Zugriff mehr haben.

Geht das via Rezertifizierung? Komme ich nicht darum herum einen neuen Benutzer aufzusetzen?

Für Hints bin ich wie immer äusserst dankbar.

[Glombi]

Du solltest sofort eine neue Admin ID generieren und diese in alle sicherheitsrelevanten Felder im Serverdokument sowie den ACLs aller wichtigen Datenbanken eintragen.
Am besten ist es mit einer Gruppe zu arbeiten. Die Gruppe LocalDomainAdmins steht standardmäßig in den Datenbanken drin.
Dort solltest Du den neuen Admin eintragen.

Den alten Admin solltest Du in eine Deny Gruppe eintragen und diese Gruppe muss dann ins Serverdokument unter "Wer darf nicht auf den Server zugreifen" eingetragen werden.

Sicherheitshalber würde ich vorher auch die Option Passwortprüfung im Serverdokument und im Personendokument des alten Admin aktivieren, mich dann mit der alten Admin ID anmelden und das Passwort ändern.
Danach die neue Gruppe/neuen Admin in die ACL des names.nsf als Manager eintragen und den alten Admin im names.nsf namentlich eintragen und dann auf "Kein Zugriff" setzen.

[LordMacBee]

Danke Glombi für die detaillierte Antwort,

Ich bin vollkommen mit deiner Massnahmenliste einverstanden. Sicherlich der korrekte weg das Problem aus der Welt zu schaffen. Da die Infrastruktur jedoch recht gross ist, und 24 Stunden Betrieb über 3 Offices weltweit herrscht, wollte ich nicht den Betrieb gefährden durch überhastetes rumwühlen in sämtlichen ACL's und Server configs.

Anhand deiner ausfürlichen Anleitung kann ich davon ausgehen, dass die Antwort auf meine Frage "definitiv nein" ist?

[hallo.dirk]

Durch eine Rezertifizierung wirst Du nichts erreichen
Die von Andreas beschriebene Passwortprüfung wird Dir helfen, die Zeit zu überbrücken.
Ggf. such mal in der Admin Hilfe nach "Kennwortprüfung einrichten"
Dort ist alles genauestens Beschrieben.....

!Achtung!
Die Kennwortprüfung muss auf allen Servern eingestellt sein

[LordMacBee]

Herzlichen Dank euch beiden.

Rezertifizierung war nur so eine Idee, eventuell heisst die Funktion die ich mir hier herbeigegünscht habe anders.

Anyways, bin bereits am umbauen