PDA

Visualizza versione completa : password builtin administrator


pinguino
22-03-2007, 14.46.03
ho installato tempo fa dei server win 2k e win 2003. Tali server sono stati subito promossi a DC e ho a disposizione gli account di domain administrator. Tuttavia non riesco a rinvenire le password di builtin/administrator utilizzate per il primo setup.
Il mio problema è quello di riuscire a recuperare la password di builtin/administrator immessa alla prima installazione (o modificarla/resettarla), o eventualmente di potere creare degli account builtin/administrators che garantiscano l'accesso come amministratori in caso di demote dei server stessi....

Losko
22-03-2007, 14.56.06
Se il tuo server è un DC l'Administrator è Amministratore locale ed Amministratore di dominio quando configuri il server come DC in automatico l'amministratore locale del server viene innalzato ad Amministratore del dominio. Ora non capisco se hai perso la passowrd di tale account o l'account che ti riferisci è diverso.
Comunque prova ad usare Offline NT password manager che non ho il link sottomano.

pinguino
22-03-2007, 15.05.44
Cerco di spiegare meglio: ho installato un server w2000, che è divenuto successivamente DC (ed è l'unico DC). Posseggo le password di domain admin, ed accedo come tale al server, ma non riesco a rinvenire quelle di builtin/administrator immesse all'installazione.
Avrei bisono di recuperare tale password, o di poterla modificare....
Stesso per un dominio in cui invece ci sono due DC w2003...

Losko
22-03-2007, 15.28.41
C'è qualcosa che mi sfugge nel tuo problema. Supponiamo che tu abbia installato il DC con l'account Administrator (protetto da password). Quando configuri il server come DC che io sappia (e cosa che mi capita) che tale account successivamente all'installazione del DC appartiene anche al gruppo Domain Admins e sia al gruppo Administrators. Ora il builtin\Administrator è l'amministratore locale (appartenente al gruppo Administrators) della macchina ma in una configurazione che rispetti tutte le procedure standard tale account è anche Domain Admins. Conclusione Administrator appartiene ad builtin e Domain Admins --> stesso account. Quindi se non vi sono più amministratori la pass dovrebbe essere la stessa.

pinguino
22-03-2007, 15.44.13
Quindi in pratica se facessi la demote del DC w2000 (unico controller del dominio), avrei accesso al server come amministratore utilizzando le stesse psw degli account domain admin attualmente presenti?
Un'altro dubbio: ma quando si effettua il demote di un DC (2000 o 2003), gli account di dominio vengono convertiti in locali? Anche questo sarebbe sufficiente nel mio caso...

Losko
22-03-2007, 15.47.12
Si, il fatto di essere amministratore locale o di dominio implica una differenza nelle autorizzazioni ma non viene modificata nessuna password.

pinguino
22-03-2007, 16.02.09
Scusa se ti frastorno, e ti ringrazio mille volte per le tue risposte già date...
Facendo il punto (correggimi se sbaglio): su un DC non si può entrare come utenti locali, esistono solo gli utenti di dominio, e i domain admin hanno accesso totale alla macchina. Al momento della promote, l'Administrator Local viene convertito in Domain admin con la stessa psw. E quindi in caso di demote, quella stessa password mi consentirebbe l'accesso locale.
Mi restano questi dubbi:
E se la password del domain admin fosse stata modificata in seguito, nel caso di demote potrei utilizzare la password modificata come psw dell'administrator locale?
E ancora: nel caso di demote, gli account di domain admin creati successivamente alla promote, verrebbero in qualche modo convertiti o mantenuti e mi permetterebbero anche l'accesso come utenti amministratori locali?

Losko
22-03-2007, 16.33.31
Utenti locali
Sono tutti quegli utenti che risiedono localmente sulla macchina e posso agire solo su quella macchina. Possono avere accesso al dc localmente.

Utenti di dominio
Sono tutti quegli utenti che oltre a essere presenti sul server nell'elenco degli utenti, esistono anche su altre macchine e possono avere accesso al server anche in remoto o possono richiedere l'accesso a determinati servizi offerti dal server.

L'account Administrator appartentente al gruppo di utenti Administrators può essere un amministratore locale ma anche di dominio (se appartiene al gruppo Domain Admins). Un amministratore di dominio può anche loggarsi su una macchina client ed in linea di massima avere pieno accesso sia alla macchina client che a tutto il dominio anche dal client stesso.

L'account Administrator appartentente al gruppo di utenti Administrators che risiede nell'elenco di utenti di un computer client è solo amministratore locale e non del dominio.

Se io sono loggato sul server come Administrator senza aver configurato un DC sono un amministratore locale (o della macchina) solo dopo aver configurato un DC divento un Domain Admins, la pass è sempre la stessa. Quando ti ritrovi a fare il login la pass non è cambiata ma è cambiato il tuo ruolo nella rete (dominio) da semplice amministartore locale ti ritrovi ad essere amministratore di dominio. Declassando un server ritorni ad essere un amministartore locale (la pass nemmeno questa volta viene cambiata)
La pass è ininfluente nel ruolo che vai ad aggiungere al tuo server.
NOTA: Ci sono programmi come Exchange che richiedono un account per promuoverlo come amministratore della organizzazione di Exchange e possono richiedere una ulteriore password da utilizzare per rimuovere Exchange
Se la pass è stata modificata mentre il server era un DC al declassamento la pass rimane l'ultima impostata

Per tutti gli account creati dopo la promozione a DC di un server che vengono impostati solamente come Domain Admins, l'amministratore principale dovrebbe stabilire un ruolo per loro magari aggiungendoli al gruppo Administrators in modo da renderli anche loro amministratore locali del server declassato. Nel declassamento del server viene eliminato lo speciale gruppo Domain Admins.

Spero di averti dato maggiori delucidazioni e di essere stato chiaro.

pinguino
22-03-2007, 16.47.18
Ti ringrazio per la risposta.... Quindi in buona sostanza mi pare di capire che le password degli admin locali dimenticate non servano proprio a nulla... Cerco di fare il punto, ti prego di correggermi se sbaglio...

Nel caso di demote del DC del dominio che ha un solo DC, verrebbe richiesto dal wizard di immettere una nuova password per l'Administrator locale....
E questo elimina il problema dell'averla persa nel dominio con l'unico DC.

Nel caso in cui faccio la demote invece di uno dei DC del dominio che ne ha due, Administrator manterrebbe anche come locale l'ultima password che ha (e che ho).
... Per cui anche qui il problema non sussisterebbe...

Erd Commander permetterebbe di rinvenire la password, anche se in maniera mi pare di capire invasiva (fermi macchina... e le macchine sono in produzione), ma a che serve rinvenirle a questo punto se le macchine sono DC? Ci sono scenari in cui sono necessarie? P.S. continuo a ringraziarti per la tua disponibilità...

Losko
22-03-2007, 18.24.47
Nel tuo caso specifico se prima di aggiungere il ruolo DC l'account Administrator aveva la password Admin dopo che viene aggiunto il DC la tua pass sarà ancora Admin

Se cambi pass dopo aver aggiunto il DC da Admin a Admin1 dopo il declassamento la pass continuerà ad essere Admin1

In conclusione dopo il declassamento le password non vengono modificate o ripristinate (se sono state cambiate) rimangono quelle impostate.

Il fatot del wizard che ti chiede la pass era un esempio di alcune applicazioni che richiedono ulteriori password per poter eventualmente rimuovere un particolare ruolo al server ma la pass di login non viene comunque modificata. ;)