Aus unserem Nähkästchen geplaudert: IT-Notfallplanung
Passworte und Wiederherstellung des Active Directorys
Im Zuge unserer internen IT-Notfallplanung hat Andrea Hottendorff, unsere Beraterin für Notfallplanung und BCM, eine kurze, aber enorm wichtige Rückfrage einer Kollegin erhalten:
„Hast Du hinsichtlich AD-Restore das Thema DSRM-Password*) auf dem Schirm? Dieses Passwort wird meist völlig unüberlegt bei der Einrichtung eines neuen ADs gesetzt und dann weiß es keiner mehr. Wohlgemerkt: Jedes AD hat ein eigenes – wenn es dann einmal für einen autoritativen Restore gebraucht wird, ist es garantiert nicht da…“
Bei weitem kein Einzelfall: Ein AD-Server wird aufgesetzt, Passworte vergeben und teilweise vergessen zu notieren oder der Mitarbeiter wechselt das Unternehmen und übergibt vergebenen Passworte nicht. Spätestens dann, wenn wir den Domain Controller wiederherstellen möchten, wird das zum Problem.
Zu einer guten Notfallplanung gehören immer auch Passworte und Logins dazu. Die Wiederanlaufpläne können noch so gut sein, ohne Authentifizierung sind sie obsolet.
Natürlich ist eine Wiederherstellung eines Active Directorys mit der Kenntnis des oben genannten Passwortes nicht getan.
Wenn Sie hier tiefer einsteigen möchten, kontaktieren Sie uns gerne.
*) Das DSRM (Directory Services Restore Mode) ist eine sichere Startfunktion für Windows Domain Controllern.
Es dient Administratoren dazu die Active Directory Datenbank…
- …zu reparieren
- …für eine Wiederherstellung zu reparieren
- …wiederherzustellen
Das dazugehörige Passwort stellt IT-Admins eine Hintertür mit Zugriff auf die Datenbank bereit, für den Fall, dass es später Probleme gibt. Es erlaubt jedoch keinen Zugriff auf die Domäne oder weitere Services.
(Quelle, abgerufen am 27.09.2022)