Re: domena + administratorzy

"Raqs" <raqs@hate_spam.polbox.com> wrote in message
news:e94mm7$5qm$1@news.onet.pl...
> Dariusz Kiszkiel napisał(a):
>> "Tomasz Chmielewski" <tch@nospam.syneticon.net> wrote in message
>> news:e931p0$ii$1@newsreader2.netcologne.de...
>>> Dariusz Kiszkiel wrote:
>>>> "cubus" <cubus@ftv.pl> wrote in message
>>>> news:e92pl7$224$1@pippin.nask.net.pl...
>>>>> witam
>>>>> jak jest przyjete:
>>>>> czy komputer dodajac do domeny blokuje sie konto administratora na
>>>>> lokalnym komputerze czy lepiej zostawic.
>>>>> a jesli zablokujemy to co zrobic gdy siec przestanie dzialac i nie
>>>>> bedziemy mogle podlaczyc sie do domeny?
>>>>> i w zwiazku z tym czy jest mozliwosc (jakies narzedzie) do zmiany
>>>>> hasel administratorow lokalnych na wszystkich komputerach w domenie.
>>>>> Pozdrawiam Krzysiek
>>>> Oczywiście lepiej zablokować. O ile mnie pamięć nie myli, w trybie
>>>> awaryjnym konto administratora i tak będzie odblokowane.
>>>> Do zmiany hasła możesz użyć np. dcpc:
>>>>
>>>>
>>>> http
>>>> //www.danish-company.com/dcwcm/page/{4D40EC77-0788-48E7-9FB6-B81A51F
>>>> 70CD2}.html
>>> A dlaczego lepiej jest zablokowac?
>>> Zakladam, ze haslo administratora lokalnego nie jest puste ani
>>> proste do odgadniecia.
>> Jak to dlaczego? A po co Ci w domenie na każdym komputerze aktywne
>> konta z prawami administratora lokalnego? Nawet z dobrym hasłem?
>> Wyłączając je, zwiększamy szanse na to, że nie zostaną one
>> wykorzystane do celów, do których nie są w naszym mniemaniu przeznaczone.
>> "Securing the Client Computer in the Domain
>> After you join the client computer to your domain, it is a best
>> practice to remove any non-domain Administrators from the local
>> Administrators security group on the client computer. (Members of the
>> Domain Administrators security group are also members of the local
>> Administrators group.) Then, disable the local "Administrator" account
>> on the client computer. It is no longer necessary to keep this account
>> active on the client computer because administrative access is now
>> controlled by Active Directory. This is a security best practice
>> because it minimizes the number of accounts that could potentially
>> modify the computer's configuration or settings." I ja się z tym
>> całkowicie zgadzam....
> No tak, ale jeśli w trybie awaryjnym konto administratora nie jest
> zablokowane, to po co ta cała szopka? Sprytny spryciarz umie przecież
> uruchomić kompa w tym trybie, więc co za różnica, czy będzie próbował
> odgadnąć hasło admina w trybie normalnym czy awaryjnym?
> pozdr
> RAQ

Szopka powiadasz? :)
Jaka różnica? Uważam, że spora... HINT: Network. Wyłączenie konta
administratora nie ma być przecież remedium na wszystkie bolączki ogólnie
pojętego bezpieczeństwa. :) W naszym akurat przypadku, czynność ta ma
zmniejszyć zagrożenia napływające głównie od strony sieci.
Idąc Twoim tokiem rozumowania.... Po co zabezpieczać poufne dane w lokalnej
sieci przy pomocy np. IPSec, skoro ktoś, teoretycznie, może uzyskać
nieautoryzowany, fizyczny dostęp do miejsca w którym te dane są
przechowywane? Can you see my point? ;)
Ja z kolei nie bardzo rozumiem skąd ten opór przed wyłączeniem konta
lokalnego administratora w środowisku domenowym. (?) Tak często okazuje się,
że jest ono Wam niezbędne?

BTW. W domowym zaciszu i w sytuacji gdzie dostęp do komputera ma jedna osoba
(ewentualnie osoby z niego korzystające mają prawo korzystać z konta
administratora), paradoksalnie lepiej jest zostawić konto admina bez
hasła... :) Dlaczego? Poczynając od XP, konta z pustym hasłem, nie mają
prawa "Access this computer from the network". Więc lepiej żadne niż np.
"Azorek". ;)

-- 
Darek (DAKOTA)