@cOOl!ng: Wir haben das Problem dadurch gelöst, dass wir alle Servernamen und Administratorpasswörter in eine Excel-Liste eingetragen haben. Diese hängt hier im Büro ausgedruckt an der Wand. Braucht man nur draufgucken und schon weiß man wie man auf die einzelnen Rechner draufkommt ^^

@DennisMoore: LOL, jetzt braucht nur ein Fremder das Büro zu betreten und schon hat er Zugang zum Firmennetzwerk. Ihr machts den Amis und Chinesen aber leicht. (Firmenspionage)

@Arhey: Ich glaub er meint den Account "sa", der beim SQL Server existiert. Ich weiß jetzt aber nicht so genau ob der bei Windows-Authentifizierung überhaupt funktioniert. Müßte er eigentlich.

@DennisMoore: Nein tut er nicht, der muss extra aktiviert und auch SQL-Authentifizierung eingeschaltet werden. @All: "Der Redmonder Konzern ist der Meinung, dass man gegen Administratoren mit böswilligen Absichten so gut wie keine Chance hat." -> Sehe ich genauso: Der Admin braucht in dem Fall gar keine SQL-Server-Zugangsdaten, der kann meist per Windows-Authentifizierung direkt an die Datenbank...

@tipsybroom: Sind alle SQL-Anwender Admins!? @DennisMoore: natürlich gibts keinen sa, wenn SQL-Autentifizierung an ist... wozu auch!?

@Lofote: Nö. Aber standardmäßig dürften alle Windows-Admins auch SQL-Server Admins sein. Man sollte daher eine neue Sicherheitsgruppe im AD erstellen und nur dieser administrativen Zugriff auf SQL-Server gewähren. "natürlich gibts keinen sa, wenn SQL-Autentifizierung an ist" ... Hä? Du meinst wenn Windows-Authentifizierung an ist.

@DennisMoore: Jeder lokale Administrator auf dem SQL Server hat automatisch auch auch Adminrechte auf dem SQL. Das ist das Sicherheitskonzept und auch gut so, sprich: wenn ich nicht will, dass ein User Adminrechte auf dem SQL hat, darf er nicht in der Administratorengruppe im Windows des SQL-Servers sein, ganz einfach. Natürlich sollten das eh "so wenig wie möglich, so viel wie nötig" Personen sein, das versteht sich von selbst. ... Windows-Autentifizierung ist der Standardmodus vom SQL, d.h. SQL macht keine eigene Prüfung von Benutzername und Kennwort. Zusätzlich bietet SQL Server noch eine eigene Authentifizierung an, da kommt z.B. der "sa" ins Spiel. Diesen Modus verwendet man dann, wenn man Domänen-unabhängige Zugriffe braucht. Allerdings ist die Windows-Authentifizierung auch in diesem Modus immer aktiv, sprich auch dann ist ein auf dem SQL Server lokaler Admin auch SQL-Admin.

@Lofote: "Jeder lokale Administrator auf dem SQL Server hat automatisch auch auch Adminrechte auf dem SQL" ... Verwirrst du mich absichtlich? Es ist ja wohl so dass jeder der in der Administratorengruppe im ActiveDirectory auch Administrator auf dem SQL-Server ist. Man kann das aber entkoppeln indem man eine eigene Sicherheitsgruppe im AD einrichtet (z.B. SQLAdmins) und diese Gruppe dann im SQL Server als Administratoren definiert und die normalen Administratoren rausschmeißt.

@I Luv Money: PEBKAC :)

@DennisMoore: wie mans nimmt. schön ist es natürlich nicht. aber das problem besteht immer, da die passwörter immer im klartext i speicher liegen. es geht wohl vielmehr darum wie lange die passwörter ausgelesen werden können. was da jetzt so schlimm sein soll versteh ich auch nicht, weil der admin ja auch einfach das passwort einfach ändern könnte...

@DevSibwarra: Naja ändern -> fällt auf, auslesen -> fällt nicht auf. Jedoch muss ich da Microsoft zustimmen, wer will der kriegts sowieso raus. Es wird doch sowieso fast überall Passwort als Klartext im Speicher abgelegt.

@DennisMoore: oder im Büro an die Wand hängen

@x=y_Mathe-für-Profis: Genau. Hat den Vorteil, dass böse Leute diese Passwörter eh nie ausprobieren würden weil sie denken das Administratoren einer Firma wohl kaum so blöd sein können die echten Passwörter an eine Pinwand zu pappen ^^

@DennisMoore: hahahaha Genauso wie keine Autos geknackt werden weil die Langfinger sehen das eine Navi Halterung angebracht ist. Ah da ist ja das Navi im Handschuhfach.

@x=y_Mathe-für-Profis: Also wenn mein Navi nicht in der Halterung ist, ists bei mir zuhause oder im Büro, um es zu aktualisieren (neue Maps, etc.).

@tekstep: Echt klasse! Nie so gelacht. Wirklich genial.

@0711: Andererseits nimmt man - wenn man schon die SQL Authentifizierung braucht - dann keinen Admin für den Zugriff via dieser Methode. Wenn man dann doch mal Adminrechte für die Verwaltung braucht, nimmt man dann halt die Windows-Authentifizierung. So solls sein, das ist "Best Practise" und dann ist die Angriffsfläche selbst im SQL-Modus minimiert.

@RedBullBF2: Die Daten werden doch nicht durch ein SA-Passwort geschützt. Nur der Zugriff. Sprich: wenn man später an die Daten ranwill und physikalischen Zugriff auf die Maschine hat, kommt man an die Daten unabhängig von Zugriffspasswörtern ran. Datenverschlüsselung ist ein ganz anderes Thema!