AD: Default Admin uitfaseren / Managed service accounts

Wij gebruiken voor elke service een eigen account.
Dus 1 voor BackupExec, SQL, Exchange etc.

Deze services gebruiken nooit het admin account.

En bedankt voor die bijdrage. De TS begrijpt dat hij ook die kant op moet, maar op welke manier invenstariseer je welke services gebruik maken van het Admin account.
Ik moet zeggen, ik weet het antwoord ook niet, maar ben wel benieuwd.
Ik denk dat het alleen te doen is als je domeinwijd log on auditing aan zet. Dan krijg je een trail van wanneer welk account gebruikt wordt. Iets anders kan ik zo even niet bedenken.

Scriptje in Powershell die gewoon een lijstje uitpoept van alle services die niet onder een default account draaien?

edit: zoiets dus klik

[ Voor 33% gewijzigd door Meekoh op 30-01-2015 12:56 ]

Zelf txt file vullen met de servers waar het om gaat?

En verder zal het veel handmatig uitzoekwerk zijn met hier & daar een misser waar je snel genoeg achterkomt als iemand roept dat X niet meer werkt.

[ Voor 79% gewijzigd door Oogje op 30-01-2015 15:23 ]

zoiezo +1 voor default admin "verbannen"
Het is uitermate slecht als in welke IT omgeving dan ook men niet de moeite neemt om default admin passwd op te slaan in (digitale) kluis ofzo.
ik introduceer regelmatig keepass passwd database bij klanten (je kan gezamelijk erin en editen) het is wat werk maar het gemak is als ze eenmaal gewend ziin toch wel prettig. (je kan scripten ermee)

Management krijg je wel mee met het realistische scenario "Stel dat 1 van je collega's kwaad weggaat .. " en je moet het wachtwoord wijzigen (standaard procedure bij verlaten van beheerder bij bedrijf ..toch?) .. dan is de downtime vele malen groter en schade indien de kwaadwillende vertrokken medewerker niet te zien / gelogd en bla bla schade niet te verhalen .. bla bla
Gaat management hier niet in mee ... your ass is covered. gaan ze wel mee heb je ook meer dekking in de rug. immers meuk zal kapot gaan ..

Het kost veel tijd en moeite om zo'n actie in bestaande omgeving te realiseren, spreek een datum af bv over 1 a 2 maanden wanneer het wachtwoord van het admin account gereset word.. , bij problemen terug gezetten naar het huidige passwd

in de 2 maanden en tijdens het wachtwoord wijzigen heb je de tijd om de schade te minimaliseren. je kan natuurlijk audit doen op suc6/failed logon en filteren op account "admin" en deze events laten mailen/forwared naar speciaal mail adres oid.. zo vang je 90% wat eventueel niet bekend is (met minimaal effort)

tja piep systeem is vaak het effectiefst en tja ga er niet van uit dat je dit binnen 1 jaar geregeld hebt. maar aanloop is wel genomen om dit goed te regelen. de rest is toch het inzicht binnen je afdeling en het nut. Helaas bewijst nut zich in geval van nood (lees avond/weekend werk)

Ik kan alleen de ervaring met je delen, ik heb een tool geschreven die het account gebruik inventariseert. Services, scheduled tasks, user right assignments, de credentials van live processen en het daarnaast een niveau dieper bekijkt, of de geconfigureerde accounts hoge domain rechten hebben.
Hoewel dit uit een windows perspectief een nagoeg compleet beeld oplevert, zijn er nog genoeg situaties waar deze tool het account gebruik niet detecteert, bijv. een applicatie waarin een account staat geconfigureerd in een database of config file. Die zie ik niet met die tool niet, toch levert het voldoende gegevens op om een verbetertraject te starten.
Die tool is mijn brood dus ik deel hem niet maar bovenstaande geeft je misschen genoeg inzage in hoe ik een verbetertraject start.

[ Voor 0% gewijzigd door Semt-x op 30-01-2015 15:51 . Reden: "bovenstaande" ontbrak :/ ]

Verwijderd schreef op vrijdag 30 januari 2015 @ 15:03:
Bedankt meekoh voor je reply

Hmmm, ja dat kan, maar krijg je waarschijnlijk echt alles van alle servers terug. Ik zoek liever iets concreets... Mensen met andere gedachten?

Dat script is een voorzetje. Niets weerhoud jou ervan om dat aan te passen of het eindresultaat in Excel te flikkeren met een filter erop

Ik overtreed de regels als ik hier iets verkoop of reclame maak, vandaar dat ik alleen mijn aanpak en de technische details deel. Maar niets weerhoud je ervan me te DMen.

even buiten kantooruren uitvoeren i.v.m de load. kost je niks: http://community.spicewor...earch-for-service-account