[2000] AD: Administrator account hernoemen -->problemen*

Ik hoop dat jullie me kunnen helpen met het volgende:

Situatie:
Active Directory (Windows 2000 servers)
Één memberserver met daar Mercury mailserver op
Een nog steeds actieve administrator account

Ik wil de Administrator account renamen… Nu wijzig ik deze naar bvb naar testadmin maar dan loopt het na replicatie mis…
De IMAP server van Mercury begint te flippen en outlook clients die gebruik maken van IMAP krijgen een melding dat ze opnieuw hun paswoord moeten ingeven. Hij blijft echter het paswoord vragen, net alsof het steeds een verkeerd paswoord is. Telnetten naar de IMAP-server lukt wel.

Als ik mijn testadmin (mijn vroegere administrator account) account terug hernoem naar administrator, dan is alles weer in orde!

Hebben jullie enig idee of ervaring hiermee? (een andere methode om dit op te lossen?).

Dank u,

de mercury mail transport service draait momenteel onder local system account en allow service to interract with desktop staat aangevinkt. Deze local system account, bedoelen ze daar de account mee die als console is ingelogd?

EDIT
*nevermind, die service is niet eens gestart, en alles werkt op het ogenblik. Maar ik kan wel nog steeds mijn administrator account niet renamen zonder problemen zie Topic start post.*

[ Voor 31% gewijzigd door Tybo op 29-03-2006 14:03 ]

Het wordt niet aangeraden om het administrator account te hernoemen.
Blijkbaar staan er op bepaalde plekken hardcode verwijzingen naar "administrator"

Ik zou het administrator account lekker met rust laten , eventueel een kopie maken die je gebruikt voor het testen oid.

Waarom zegt Microsoft dat je de administrator account moet hernoemen of verwijderen? Is dit niet de account waar de meeste aanvallen op gebeuren?

Iemand anders een mening?

De administrator account heeft gedeeltelijk nut (imho) - je kan programmatisch vrij simpel achterhalen wat de 'nieuwe' naam is van de administrator, maar dat betekent niet dat je simpele interactieve logons met 'administrator' er niet enigzins mee afremt natuurlijk

De administrator account renamen is overigens een GPO setting voor dacht ik

Ik vind het zo vreemd dat ik hem gewoon niet kan disablen zoals gelijk welke andere account....Zo kan ik hem enablen wanneer ik hem nodig heb.

"To further secure Active Directory, it is recommended that you implement the following security guidelines:

Rename or disable the Administrator account (and guest account) in each domain to prevent attacks on your domains. For more information, see User and computer accounts."

Windows library

De lokale administrator kun je volgens mij zo veranderen. (MS heeft hier zelfs een policy voor gemaakt)

Ik doelde niet op de lokale administrator maar over de domain administrator account.

Ik zou het admin account alleen gebruiken om interactief in te loggen op de server,
en aparte service accounts te maken voor exchange/virusscan/backup etc.

Das ergens een policy die ik kan invullen bij local policies? Of hoe bewerkstellig ik dit?

Disable =! verwijderen.
En een guideline is geen verplichting maar een voorstel wat je al naar gelang je schriftelijk vastgelegde beveiligingsrichtlijnen toe kan passen.

Wederom is dat een beveiligingsprocedure/voorschrift wat gehanteerd wordt binnen je organisatie, en wat schriftelijk zou moeten vastliggen.
Soort van beveiligingshandboek zeg maar.

Dus niet klakkeloos maar wat aandoen maar gedocumenteerd en geaccordeerd door hoofd-IT en management.

U hebt volkomen gelijk.

Nulnulnix schreef op maandag 03 april 2006 @ 09:32:
Een admin account verwijderen of hernoemen achteraf geeft altijd problemen. Je had dat beter kunnen doen tijdens de installatie van de allereerste server.
Misschien kun je je mailserver opnieuw inrichten? (wijzig dan wel het admin account tijdens installatie van de server). Het lijk me overigens niet voor de hand liggend dat er in de mail server hardcoded verwijzingen staan naar administrator. Dat zou inhouden, dat je zonder account met naam administrator het programma niet zou kunnen installeren en dat lijkt me niet waarschijnlijk.

Nee hoor, alles werkt als ze onder accounts draaien met admin privileges.