Dariusz Kiszkiel napisał(a):
> "Tomasz Chmielewski" <tch@nospam.syneticon.net> wrote in message
> news:e931p0$ii$1@newsreader2.netcologne.de...
>> Dariusz Kiszkiel wrote:
>>> "cubus" <cubus@ftv.pl> wrote in message
>>> news:e92pl7$224$1@pippin.nask.net.pl...
>>>> witam
>>>> jak jest przyjete:
>>>> czy komputer dodajac do domeny blokuje sie konto administratora na
>>>> lokalnym komputerze czy lepiej zostawic.
>>>> a jesli zablokujemy to co zrobic gdy siec przestanie dzialac i nie
>>>> bedziemy mogle podlaczyc sie do domeny?
>>>> i w zwiazku z tym czy jest mozliwosc (jakies narzedzie) do zmiany
>>>> hasel administratorow lokalnych na wszystkich komputerach w domenie.
>>>> Pozdrawiam Krzysiek
>>> Oczywiście lepiej zablokować. O ile mnie pamięć nie myli, w trybie
>>> awaryjnym konto administratora i tak będzie odblokowane.
>>> Do zmiany hasła możesz użyć np. dcpc:
>>> http://www.danish-company.com/dcwcm/page/{4D40EC77-0788-48E7-9FB6-B81A51F
>>> 70CD2}.html
>> A dlaczego lepiej jest zablokowac?
>> Zakladam, ze haslo administratora lokalnego nie jest puste ani proste do
>> odgadniecia.
>
> Jak to dlaczego? A po co Ci w domenie na każdym komputerze aktywne konta z
> prawami administratora lokalnego? Nawet z dobrym hasłem? Wyłączając je,
> zwiększamy szanse na to, że nie zostaną one wykorzystane do celów, do
> których nie są w naszym mniemaniu przeznaczone.
>
> "Securing the Client Computer in the Domain
> After you join the client computer to your domain, it is a best practice to
> remove any non-domain Administrators from the local Administrators security
> group on the client computer. (Members of the Domain Administrators security
> group are also members of the local Administrators group.) Then, disable the
> local "Administrator" account on the client computer. It is no longer
> necessary to keep this account active on the client computer because
> administrative access is now controlled by Active Directory. This is a
> security best practice because it minimizes the number of accounts that
> could potentially modify the computer's configuration or settings."
>
> I ja się z tym całkowicie zgadzam....
>
No tak, ale jeśli w trybie awaryjnym konto administratora nie jest
zablokowane, to po co ta cała szopka? Sprytny spryciarz umie przecież
uruchomić kompa w tym trybie, więc co za różnica, czy będzie próbował
odgadnąć hasło admina w trybie normalnym czy awaryjnym?
pozdr
RAQ
Received on Thu Jul 13 07:50:05 2006
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Thu 13 Jul 2006 - 08:42:02 MET DST