Results 1 to 19 of 19

Thread: Change password za admin nalog na windows serveru 2008 (via remote desktop)

  1. #1
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default Change password za admin nalog na windows serveru 2008 (via remote desktop)

    Treba da promijenim admin password na windows serveru 2008 (neko ko je znao admin pass je presao u konkurentsku firmu i, jasno, izdat mi je nalog za promjenu password-a), preko remote desktop-a.

    Znam kako to da uradim, ALI 'u strahu su velike oci':
    - radi se o VPN mrezi (racunari su na vise geografskih lokacija, postoji i vremenska razlika - planiram da promjenu odradim kada niko od zaposlenih ne radi),
    - na windows serveru 2008 instaliran je i sql server 2008,
    - koliko ja znam, nema drugih aplikacija instaliranih na serveru (server = domen kontroler),
    - vec dvije godine domen funkcionise, dodjeljujem (i oduzimam) dozvole, kreiram foldere i slicno,
    - serveru pristupam iz 'remote desktop'-a.

    Pitanja:
    - moze li ista da krene 'naopako' tokom remote izmjene password-a za admin nalog via remote desktop?
    - treba li da resetujem server (poslije izmjene password-a) ?
    - treba li da zaustavim sql server 2008 (i njegove servise), prije same zamjene lozinke ?
    - treba li da zaustavim neki drugi servis(e) ?

    Nadam se da vam je, iz 'postavke problema' jasno da moram biti maksimalno oprezan - zato vam se i obracam za pomoc ...
    Doljani forever ...

  2. #2
    Join Date
    Feb 2004
    Location
    Far away from here
    Posts
    3,730
    Thanks Thanks Given 
    3
    Thanks Thanks Received 
    3
    Thanked in
    3 Posts

    Default

    Lokalni administratorski ili domenski administratorski nalog na w2k8svr? U svakom slucaju zamjenio bih oba i to momentalno. Ako tvoj nalog koji koristis preko remote desktopa pripada grupi lokalnih i domenskih administratora, nesto ne bih ocekivao problem, mada bih probao prvo na VM instancama (provjere radi). Ako je tvoj nalog u nekoj drugoj grupi, e onda, hm...

    I da, zamjeni sifre i za gateway/firewall/ruter i razne admin shareove...

    Glede SQL i servisa, mislim da ce to Djoks bolje rastumaciti, i mislim da to uglavnom zavisi pod cijom ili kojom instancom se vrsi pristup i operacije nad bazom.
    " Damn the cargo, we'll be on our way tonight "

  3. #3
    Join Date
    Jan 2004
    Posts
    36,821
    Thanks Thanks Given 
    89
    Thanks Thanks Received 
    3,289
    Thanked in
    1,832 Posts

    Default

    Po meni problema ne bi trebalo da ima. Za svaki slučaj provjeri koja prava ima tvoj user, i ubaci ih u grupu administratora (ako već nisi).
    Promijeni, ako bude problema vratiti na staro je lako.

    Servisi ne trpe zbog password - a, da je drugačije slučaj mnogo bi teže otpuštali administratora u velikim firmama. Ista je stvar sa software - om.

    Sa druge strane ukoliko se kroz VPN neki računar ili proces 'kači' na server sa administratorskim privilegijama i glavnim accauntom biće izolovan. Taman da testiraš ranjivost sistema.


    Ono što bih ja provjerio je kakvi su ostali accounti odnosno da li ima još administratora i za šta se oni koriste.



    Poslato sa pisaće mašine Galaxy Note
    -> Forma za naručivanje online stvari <-

    Bugi Vugi tapši Raduj se!

  4. #4
    Join Date
    Jan 2004
    Location
    Mandalay
    Posts
    10,279
    Thanks Thanks Given 
    28
    Thanks Thanks Received 
    29
    Thanked in
    21 Posts

    Default

    @mito, ne bi trebao da imas ikakvih problema usljed promjene lokalnog ili domenskog admin passworda. Ako neki od servisa (recimo backup) koristi taj admin nalog onda samo setuj taj novi password na tom servisu.
    Preporucio bih ti da za vpn konekciju kreiras novi nalog (koji nije administratorski) dodaj ga u grupu vpn usera i njega ubuduce koristi za vpn pristup (ovo kazem samo u slucaju da administratorski nalog koristis za vpn). Inace za rdp sesiju kao i dalje koristis admin nalog koji si i do sada korstio.
    Who let the dogs out

  5. #5
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by Njivice_Orano_Nepreorano View Post
    Lokalni administratorski ili domenski administratorski nalog na w2k8svr? U svakom slucaju zamjenio bih oba i to momentalno. Ako tvoj nalog koji koristis preko remote desktopa pripada grupi lokalnih i domenskih administratora, nesto ne bih ocekivao problem, mada bih probao prvo na VM instancama (provjere radi). Ako je tvoj nalog u nekoj drugoj grupi, e onda, hm...

    I da, zamjeni sifre i za gateway/firewall/ruter i razne admin shareove...

    Glede SQL i servisa, mislim da ce to Djoks bolje rastumaciti, i mislim da to uglavnom zavisi pod cijom ili kojom instancom se vrsi pristup i operacije nad bazom.

    >Lokalni administratorski ili domenski administratorski nalog na w2k8svr?
    Domenski administratorski nalog.

    >U svakom slucaju zamjenio bih oba i to momentalno.
    ovo je ok, mislim za zamjenu password-a lokalnog naloga -> i to cu uraditi (hvala) ...

    >Ako tvoj nalog koji koristis preko remote desktopa pripada grupi lokalnih i domenskih administratora, nesto ne bih ocekivao problem, mada bih >probao prvo na VM instancama (provjere radi).
    Preko remote desktop-a se konektujem kao domenski administrator.

    >I da, zamjeni sifre i za gateway/firewall/ruter i razne admin shareove...
    I ovo je ok, ali nece biti potrebe, jer samo ja znam te passworde.

    Ono sto me, dodatno, tjera na oprez je sto se na vise linkova pominju 'servisi koji su podignuti pod admin kredencijalima', pa, ako se zamijene admin kredencijali, pomenuti servisi nece raditi ... pokusavam da nadjem neki alat, koji bi mi pomogao da detektujem te 'servise podignute sa admin kredencijalima' ... ili da zanemarim 'ovu pricu' ?
    Doljani forever ...

  6. #6
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by Bugi View Post
    Po meni problema ne bi trebalo da ima. Za svaki slučaj provjeri koja prava ima tvoj user, i ubaci ih u grupu administratora (ako već nisi).
    Promijeni, ako bude problema vratiti na staro je lako.

    Servisi ne trpe zbog password - a, da je drugačije slučaj mnogo bi teže otpuštali administratora u velikim firmama. Ista je stvar sa software - om.

    Sa druge strane ukoliko se kroz VPN neki računar ili proces 'kači' na server sa administratorskim privilegijama i glavnim accauntom biće izolovan. Taman da testiraš ranjivost sistema.


    Ono što bih ja provjerio je kakvi su ostali accounti odnosno da li ima još administratora i za šta se oni koriste.



    Poslato sa pisaće mašine Galaxy Note
    >Servisi ne trpe zbog password
    OK, prihvaticu tvoj savjet ...

    >Ono što bih ja provjerio je kakvi su ostali accounti odnosno da li ima još administratora i za šta se oni koriste.
    I ovo je OK (jer sam, u medjuvremenu, informisan da se 'sumnja' da jos dva zaposlena znaju admin password, a nisu u grupi ljudi koji bi trebali da ga znaju -> pa treba da 'procesljam' njihove account-e).

    Pitanje: da li da keriram novi nalog, koga bih ubacio u grupu 'Administrators' i da preko tog naloga odradim change password za nalog 'Administrator' ili je to nepotrebno ?
    Doljani forever ...

  7. #7
    Join Date
    Jan 2004
    Location
    Mandalay
    Posts
    10,279
    Thanks Thanks Given 
    28
    Thanks Thanks Received 
    29
    Thanked in
    21 Posts

    Default

    Quote Originally Posted by mito61 View Post
    Lokalni administratorski ili domenski administratorski nalog na w2k8svr?
    Domenski administratorski nalog.

    >U svakom slucaju zamjenio bih oba i to momentalno.
    ovo je ok, mislim za zamjenu password-a lokalnog naloga -> i to cu uraditi (hvala) ...
    Ako je spomenuti server domen kontroler kao sto si napisao (to sam tek sada primjetio), neces morati mijenjati password na lokalni admin nalog, jer lokalnih naloga nema.
    Domen kontroler po automatizmu disable-uje lokalnu polisu.
    Last edited by BlackVelvet; 28-02-13 at 21:55.
    Who let the dogs out

  8. #8
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by BlackVelvet View Post
    @mito, ne bi trebao da imas ikakvih problema usljed promjene lokalnog ili domenskog admin passworda. Ako neki od servisa (recimo backup) koristi taj admin nalog onda samo setuj taj novi password na tom servisu.
    Preporucio bih ti da za vpn konekciju kreiras novi nalog (koji nije administratorski) dodaj ga u grupu vpn usera i njega ubuduce koristi za vpn pristup (ovo kazem samo u slucaju da administratorski nalog koristis za vpn). Inace za rdp sesiju kao i dalje koristis admin nalog koji si i do sada korstio.
    >Ako neki od servisa (recimo backup) koristi taj admin nalog onda samo setuj taj novi password na tom servisu.
    Mozes li mi preporuciti neki alat kojim bih 'pokupio' servise koji koriste admin nalog? Inace, na serveru nemamo podignut backup servis ... i uopste, da ja znam, a provjericu, nema nikakvih instaliranih aplikacija, izuzev Sql Servera 2008 ... ima li sql server 2008 ikakve veze (zavisnosti) sa admin nalogom ? za pristup sql serveru (iz neke aplikacije koju razvijamo za nase potrebe) koristim nalog koji nije domen admin nalog. E sad, razmisljam 'naglas', kad treba da odradim transfer baze, recimo, to radim iz remote desktop-a sa domenskim admin nalogom ... ali to ne bi trebalo da ima ikakve veze, kad se konektujem sledeci put, pitace me za pass i ja cu unijeti novi, jesam li u pravu ?

    VPN se, jos uvijek ne koristi (ako mislis na scenario da neki zaposleni, recimo, moze da pristupa mrezi sa svog kucnog racunara).

    Hvala vam svima na odgovorima, javicu sto sam uradio ...
    Doljani forever ...

  9. #9
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by BlackVelvet View Post
    Ako je spomenuti server domen kontroler kao sto si napisao (to sam tek sada primjetio), neces morati mijenjati password na lokalni admin nalog, jer lokalnih naloga nema.
    Domen kontroler po automatizmu disable-uje lokalnu polisu.
    Zahvaljujem ...
    Doljani forever ...

  10. #10
    Join Date
    Jan 2004
    Location
    Herceg Novi
    Posts
    3,365
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by BlackVelvet View Post
    Ako je spomenuti server domen kontroler kao sto si napisao (to sam tek sada primjetio), neces morati mijenjati password na lokalni admin nalog, jer lokalnih naloga nema.
    Domen kontroler po automatizmu disable-uje lokalnu polisu.
    Upravo tako - ako je pomenuti server domen kontroler - tu više nema lokalnih korisnika.

    Što se tiče liste servisa koji su, potencijalno, pokrenuti pod korisničkim pravima admina - dovoljno je otvoriti listu servisa (Run - services.msc) i pogledati kolonu: "Log On As".

    Generalno je loša praksa koristiti DOMEN\Administrator nalog za day-to-day operaciju; Administratori obično imaju svoj sopstveni korisnički nalog sa odgovarajućim pravima, dok se root account formira sa password-om koji gotovo niko ne zna i koji se pohrani u sef firme (za ne daj Bože). Upravo i zbog problema opisanih u prvom postu.

    Što se SQL Server-a tiče - zavisi sa čijim pravima se pokreće. Možda je neko setirao da se pokreće pod pravima tog administratora (što bi bilo potpuno pogrešno), pa to valja prvo provjeriti. Inače - prije promjene password-a za Administrator nalog - u grupu Server Admin-a pod SQL serverom - treba dodati drugi/alternativni nalog (za svaki slučaj).

  11. #11
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by Djoks View Post
    Upravo tako - ako je pomenuti server domen kontroler - tu više nema lokalnih korisnika.

    Što se tiče liste servisa koji su, potencijalno, pokrenuti pod korisničkim pravima admina - dovoljno je otvoriti listu servisa (Run - services.msc) i pogledati kolonu: "Log On As".

    Generalno je loša praksa koristiti DOMEN\Administrator nalog za day-to-day operaciju; Administratori obično imaju svoj sopstveni korisnički nalog sa odgovarajućim pravima, dok se root account formira sa password-om koji gotovo niko ne zna i koji se pohrani u sef firme (za ne daj Bože). Upravo i zbog problema opisanih u prvom postu.

    Što se SQL Server-a tiče - zavisi sa čijim pravima se pokreće. Možda je neko setirao da se pokreće pod pravima tog administratora (što bi bilo potpuno pogrešno), pa to valja prvo provjeriti. Inače - prije promjene password-a za Administrator nalog - u grupu Server Admin-a pod SQL serverom - treba dodati drugi/alternativni nalog (za svaki slučaj).
    >Što se tiče liste servisa koji su, potencijalno, pokrenuti pod korisničkim pravima admina - dovoljno je otvoriti listu servisa (Run - services.msc) i >pogledati kolonu: "Log On As".
    To sam i ja, u medjuvremenu, 'provalio'

    >Inače - prije promjene password-a za Administrator nalog - u grupu Server Admin-a pod SQL serverom - treba dodati drugi/alternativni nalog (za >svaki slučaj)
    Sto znaci 'u grupu Server Admin-a pod SQL serverom' ? Admin za SQL server ?
    Doljani forever ...

  12. #12
    Join Date
    Jan 2004
    Location
    Herceg Novi
    Posts
    3,365
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by mito61 View Post
    >Inače - prije promjene password-a za Administrator nalog - u grupu Server Admin-a pod SQL serverom - treba dodati drugi/alternativni nalog (za >svaki slučaj)
    Sto znaci 'u grupu Server Admin-a pod SQL serverom' ? Admin za SQL server ?
    SQL Server ima svoje korisničke grupe (poput onih pod Windows-om). Inicijalno, prilikom instalacije SQL Servera, administratori sa domena/računara bivaju dodati u grupu administratora pod SQL Serverom (kod prethodnih generacija SQL Servera). Tako su svi administratori pod Windows-ima imali administratorska prava i pod SQL Serverom - sve dok se ne bi instalirao service pack - koji bi ih uklonio, i ako ne bi postojao eksplicitno definisan korisnik u okviru SQL Servera koji ima administratorska prava - došlo bi se u poziciju da niko ne može pristupiti SQL Server-u kao administrator.

    Kod skorijih verzija - prilikom instalacije SQL Servera - program nudi da se korisnik koji instalira server automatski ubaci u grupu SQL Server administratora. Dobra praksa je da:

    - Windows administratori NEMAJU administratorska prava nad SQL Serverom već da
    - Samo pojedinačni korisnici koji moraju imati administratorska prava nad SQL Serverom - bivaju eksplicitno definisani unutar istog.

    (najmanja neophodna prava - koja su im potrebna)

    Dakle - unutar Management Studia: Security -> Server Roles -> sysadmin (to su administratori pod SQL Serverom): provjeriti da li je određeni korisnik sa Windows domena - dodat u tu grupu.

  13. #13
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by Djoks View Post
    Upravo tako - ako je pomenuti server domen kontroler - tu više nema lokalnih korisnika.

    Što se tiče liste servisa koji su, potencijalno, pokrenuti pod korisničkim pravima admina - dovoljno je otvoriti listu servisa (Run - services.msc) i pogledati kolonu: "Log On As".

    Generalno je loša praksa koristiti DOMEN\Administrator nalog za day-to-day operaciju; Administratori obično imaju svoj sopstveni korisnički nalog sa odgovarajućim pravima, dok se root account formira sa password-om koji gotovo niko ne zna i koji se pohrani u sef firme (za ne daj Bože). Upravo i zbog problema opisanih u prvom postu.

    Što se SQL Server-a tiče - zavisi sa čijim pravima se pokreće. Možda je neko setirao da se pokreće pod pravima tog administratora (što bi bilo potpuno pogrešno), pa to valja prvo provjeriti. Inače - prije promjene password-a za Administrator nalog - u grupu Server Admin-a pod SQL serverom - treba dodati drugi/alternativni nalog (za svaki slučaj).
    Upravo sam provjerio listu servisa -> samo je sql server setovan da se podize pod DOMEN\Administrator nalogom.
    Da li bih trebao da kreiram novi nalog, koji bih pridruzio Domain Admin grupi (ili nekoj drugoj) i da sql server setujem da se podize pod tim, novim, nalogom ?

    Jos nesto: postoji jedna aplikacija sa mreznom licencom. Znaci, aplikacija je instalirana na klijentima (radne stanice), a licenca je na serveru (domain controller). Sta tu mogu da ocekujem i preduzmem (ima lii neko iskustva) ?
    Doljani forever ...

  14. #14
    Join Date
    Jan 2004
    Location
    Herceg Novi
    Posts
    3,365
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by mito61 View Post
    Upravo sam provjerio listu servisa -> samo je sql server setovan da se podize pod DOMEN\Administrator nalogom.
    Da li bih trebao da kreiram novi nalog, koji bih pridruzio Domain Admin grupi (ili nekoj drugoj) i da sql server setujem da se podize pod tim, novim, nalogom ?
    Užas, imate sreće što je taj administrator napustio firmu.

    Nema potrebe da se SQL server servis pokreće sa pravima domen administratora (čak naprotiv); dovoljno je da se pokreće sa pravima "Local System" naloga (osim u nekim slučajevima, ali to su već finese ...).

  15. #15
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by Djoks View Post
    Užas, imate sreće što je taj administrator napustio firmu.

    Nema potrebe da se SQL server servis pokreće sa pravima domen administratora (čak naprotiv); dovoljno je da se pokreće sa pravima "Local System" naloga (osim u nekim slučajevima, ali to su već finese ...).
    Treba mi pomoc - posto sam 'stopirao' sql server (servis), nikako ne mogu da ga pokrenem ('start') - sta bih mogao da pogledam ?
    Doljani forever ...

  16. #16
    Join Date
    Jan 2004
    Location
    Mandalay
    Posts
    10,279
    Thanks Thanks Given 
    28
    Thanks Thanks Received 
    29
    Thanked in
    21 Posts

    Default

    Napravi neki nalog u AD-u, recimo "sqladmin", smjesti ga u neku posebnu oragnizacionu jedinicu, napravi recimo "sistemski nalozi", dodaj ga pomenutom servisu u tabu logon i startuj servis.
    Mada kao sto kaze @Djoks, sql server bi trebao da radi pod "local system" accountom
    Who let the dogs out

  17. #17
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by BlackVelvet View Post
    Napravi neki nalog u AD-u, recimo "sqladmin", smjesti ga u neku posebnu oragnizacionu jedinicu, napravi recimo "sistemski nalozi", dodaj ga pomenutom servisu u tabu logon i startuj servis.
    Mada kao sto kaze @Djoks, sql server bi trebao da radi pod "local system" accountom
    To sam htio da pitam: taj nalog (koji cu napraviti) - dovoljno je da bude clan grupe 'Domain Users' ? (nista drugo ?)

    Pokusao sam da ga startujem i pod 'local services' i pod 'local system' - nije htio, vratio sam ga (opet) pod domain\Administrator i pokrenuo sam ga ... sad cu da probam ovo sto si mi napisao ...

    Pitanje: ako imam korisnika koji nije kreiran u AD-u (znaci, nije domenski korisnik), nego je kreiran u SQL management studio-u i stavljen u 'server roles' -> 'sysadmin', da li mogu takvog korisnika da stavim u 'Logon' za service? Jednostavno, ne mogu da ga pronadjem, jer nije domain user ?
    Doljani forever ...

  18. #18
    Join Date
    Jan 2007
    Location
    Beograd
    Posts
    280
    Thanks Thanks Given 
    0
    Thanks Thanks Received 
    0
    Thanked in
    0 Posts

    Default

    Quote Originally Posted by mito61 View Post
    To sam htio da pitam: taj nalog (koji cu napraviti) - dovoljno je da bude clan grupe 'Domain Users' ? (nista drugo ?)

    Pokusao sam da ga startujem i pod 'local services' i pod 'local system' - nije htio, vratio sam ga (opet) pod domain\Administrator i pokrenuo sam ga ... sad cu da probam ovo sto si mi napisao ...

    Pitanje: ako imam korisnika koji nije kreiran u AD-u (znaci, nije domenski korisnik), nego je kreiran u SQL management studio-u i stavljen u 'server roles' -> 'sysadmin', da li mogu takvog korisnika da stavim u 'Logon' za service? Jednostavno, ne mogu da ga pronadjem, jer nije domain user ?
    Ja sam 'kiksao': kad sam mijenjao nalog, kliknuo sam odmah na dugme 'Start', a treba prvo 'Apply', pa restart servisa, pa dugme 'Start' ... u pravu ste, 'LogOn' radi i pod nalogom 'local system' ...

    Hvala svima na pomoci ...
    Doljani forever ...

  19. #19
    Join Date
    Jan 2004
    Location
    Mandalay
    Posts
    10,279
    Thanks Thanks Given 
    28
    Thanks Thanks Received 
    29
    Thanked in
    21 Posts

    Default

    Quote Originally Posted by mito61 View Post
    Pitanje: ako imam korisnika koji nije kreiran u AD-u (znaci, nije domenski korisnik), nego je kreiran u SQL management studio-u i stavljen u 'server roles' -> 'sysadmin', da li mogu takvog korisnika da stavim u 'Logon' za service? Jednostavno, ne mogu da ga pronadjem, jer nije domain user ?
    Sa nalogom kreiranim u sql management studio ne mozes startovati sql servis.
    Who let the dogs out

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Similar Threads

  1. Facebook Password Change
    By Emill in forum Internet
    Replies: 70
    Last Post: 17-06-12, 23:20
  2. Replies: 3
    Last Post: 15-11-11, 15:18
  3. Admin za Cs na g-serveru
    By Born2beWilD in forum Game Server CG
    Replies: 42
    Last Post: 26-02-06, 22:06

Bookmarks

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •