soullessink
Goto Top

AD User Passwörter vergleichen

Muss User mit gleichem Passwort im AD finden

Hi,

ich habe nochmal ein kleines Problem. Ich muss herausfinden, welche unserer AD User ein und dasselbe Passwort benutzen. Einige benutzen da ein Standard-Passwort und das ist natürlich ein Sicherheitsproblem. Diese User muss ich also ausfindig machen um die Sicherheitslücke zu schließen. Bei knapp 400 Usern jeden mal einzeln durch zu probieren, ist etwas schwierig. Ich weiß, dass der Hashwert unter einem bestimmten Attribut gespeichert wird, man dieses aber nicht sehen kann, auch nicht als Admin. Aber irgendwie muss man das ja ansprechen können?!
Hat jemand ne Idee? Ich bin für jeden Vorschlag dankbar!

Grüße

SoullessInk

Content-Key: 163322

Url: https://administrator.de/contentid/163322

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: 98701
98701 25.03.2011 um 09:32:18 Uhr
Goto Top
Hi,

stell doch einfach ein das alle User das Kennwort bei der nächsten Anmeldung ändern müssen und verbiete das alte Passwort.

Schöne Grüße
Mitglied: tikayevent
tikayevent 25.03.2011 um 09:50:47 Uhr
Goto Top
Besagtes Feld mit dem Passwort-Hash ist ein Write Only-Feld, sprich du kannst schreiben, aber nicht lesen. Hat den Grund, dass selbst ein Hash nicht sicher ist. Die einzige Möglichkeit wäre wirklich, die Passwortrichtlinien anzupassen.

Hier bekommt jeder Benutzer zur Erstanmeldung ein zufälliges Passwort, welches dann bei der ersten Anmeldung direkt geändert werden muss. Desweiteren muss es eine gewisse Komplexität haben (die MS Komplexitätsrichtlinien halt), es benötigt eine Mindestlänge, darf nur für 90 oder 180 Tage genutzt werden (müsste ich nachschauen) und es darf nicht wiederverwendet werden (Passwortchronik 12 Passwörter)
Mitglied: Biber
Biber 25.03.2011 um 09:57:02 Uhr
Goto Top
Moin SoullessInk,

wie tikayevent schon geschrieben hat - wenn die Benutzer "keine Standardpassworte" (was immer das sein soll) verwenden sollen, dann kannst du das über die Kennwortrichtlinien festlegen.
Und musst es IMHO als halbwegs seriöser Hilfs-AD-Admin auch.

Wenn du/ihr das bisher verratzt habt, dann verplempere keine Zeit mit "gucken, wer als Passwort '12345' verwendet".
Wozu denn? Willst du diese User dann einzeln in der Kantine ansprechen?

Grüße
Biber
Mitglied: SoullessInk
SoullessInk 25.03.2011 um 10:04:58 Uhr
Goto Top
danke für die schnellen Antworten.

@ Bathomy: Das wäre auch eine Idee, aber bei der Anzahl der User eher ungünstig. wenn ich jetzt für alle 400 User einstelle, dass Sie ihr Passwort ändern müssen, kriege ich wenigstens 360 anrufe, warum Sie auf einmal ihr Passwort ändert müssen und mit wahrscheinlich weiteren Beschwerden.

Das Problem ist, wenn ein User "eingerichtet" wird, bekommt er genau jenes Standard Passwort, z.B. "Passw0rd", was ja auch den Anforderungen entspricht. Wie würde sich das jetzt verhalten, wenn ich genau dieses Passwort verbiete? Aktuell muss ich mich, bevor der User seinen acc bekommt auch wenigstens einmal mit dem User anmelden, um einige Einstellungen vorzunehmen, wie z.B. das Outlook. Daher kann ich nicht sofort den Haken setzen, dass er das Passwort bei nächster Anmeldung ändern muss, sondern erst, wenn ich mich einmal angemeldet habe. Wie würde das mit dem zufälligen Passwort gehen?

Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben. face-smile
Mitglied: tikayevent
tikayevent 25.03.2011 um 10:08:46 Uhr
Goto Top
Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben. face-smile

Kann ich nicht bestätigen. Jeder Mitarbeiter unterschreibt, dass er sein Passwort nicht weitergeben darf, worunter auch das aufschreiben zählt und da gibt´s hier einen kurzen Prozess. Wenn ich hier mal durch die Büros gehe und sowas sehe, wird einfach das Passwort geändert. Und zwar so lange, bis die es kapieren. Als ich das letzte mal hier durchgelaufen bin, gabs kein einziges aufgeschriebenes Passwort.

Outlook müssen hier alle selbst einstellen, dafür gibt´s ne Anleitung. Bis auf zwei Querschläger letztes Jahr, die eh schon so zu doof sind, zu überleben, klappt das wunderbar.
Mitglied: brammer
brammer 25.03.2011 um 10:13:01 Uhr
Goto Top
Hallo,

bei 400 User gibt es vermutlich eine AD und da kannst du per GPO veranlassen das das Password geändert werden muss.
Mindestens 8 Zeichen, keine Wörter aus einem Wörterbuch, Groß und Klein Schreibung als Muss und mindestens ein Sonderzeichen.
Als Grundlage dafür gibt es hoffentlich eine Nutzungsrichtline für EDV und Kommunikationsmittel!

brammer
Mitglied: 98701
98701 25.03.2011 um 10:21:07 Uhr
Goto Top
Hi,

kannst ja vorher eine E-Mail raus schicken und alle informieren ;)

Schöne Grüße
Mitglied: BigWim
BigWim 25.03.2011 um 10:29:16 Uhr
Goto Top
Moin SoullessInk,

unsere neuen oder vergeßlichen Benutzer bekommen bei uns auch einen "Standard"Kennwort. Nur benutzen wir bei der Anlage / Rücksetzung auch die Einstellung "Kennwort muß bei der ersten Anmeldung geändert werden".

So können wir bei Massenanlagen bzw. Umstellungen erkennen, wer das Kennwort nicht geändert (z. B. Urlaub / Krankheit) und deaktivieren das Konto.

Alles Revisionsvorgaben ebenso die Änderung des Kennwortes alle 30 Tage.

Grüße
Markus
Mitglied: bastla
bastla 25.03.2011 um 10:33:32 Uhr
Goto Top
... und wenn dann noch per "Kennwortchronik erzwingen" verhindert wird, dass gleich wieder das selbe Passwort (oder eines der x vorher verwendeten Passwörter) gesetzt wird, sollte sich das Thema erledigt haben ...

Grüße
bastla
Mitglied: SlainteMhath
SlainteMhath 25.03.2011 um 11:27:02 Uhr
Goto Top
Moin,

kannst ja vorher eine E-Mail raus schicken und alle informieren ;)
Besser. eine Email von der GL/GF/Vorstand raussenden lassen - das beschwert sich dann bei dir hinterher auch keiner .)

lg,
Slainte
Mitglied: DerWoWusste
DerWoWusste 25.03.2011 um 12:50:47 Uhr
Goto Top
Anmerkung: Du kannst mit Bordmitteln keine bestimmten Kennwörter verbieten.
Mitglied: 98701
98701 25.03.2011 um 14:22:49 Uhr
Goto Top
Hi,

man kann doch im AD das alte Passwort verbieten oder täusche ich mich jetzt da? oO

Schöne Grüße
Mitglied: DerWoWusste
DerWoWusste 25.03.2011 um 15:04:44 Uhr
Goto Top
Kann man nicht. Er besitzt noch keine Kennwortchronik. Hätte er bereits eine, dann ließe sich das letzte Kennwort natürlich erst wieder nach x Kennwortintervallen nutzen.
Mitglied: 60730
60730 25.03.2011 um 15:07:38 Uhr
Goto Top
Moin Junxs und Mädelz...

Farühm zo Gomblifiziert? - dann doch lieber ungetestet ins Blaue rein....

for /f "tokens=1-3" %%a in ('net user /domain') do (  
        title %%a
        net use b: \\server\freigabe Passw0rd /user:domain\%%a && echo %%a ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d
        title %%b
        net use b: \\server\freigabe Passw0rd /user:domain\%%b && echo %%b ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d
        title %%c
        net use b: \\server\freigabe Passw0rd /user:domain\%%c && echo %%c ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d
)

edit
- jo tokens 1-3 und dann nur %%a nutzen issse scheibenkäse - aber der gefundene Bock heisst immer noch nix dass ich mache test von dem da, weil isch nix habbe Tomaähn auf Eipäd
/edit



Gruß
Mitglied: dog
dog 25.03.2011 um 16:00:16 Uhr
Goto Top
Warum machen es eigentlich alle so kompliziert?

Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.
Mitglied: 60730
60730 25.03.2011 um 16:05:08 Uhr
Goto Top
moin Dog,

Zitat von @dog:
Warum machen es eigentlich alle so kompliziert?

Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem
Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.

  • hüstel - lösch mal deinen Browsercache - und schau mal eine paar Zeilen höher

Gruß
Mitglied: bastla
bastla 25.03.2011 um 16:06:54 Uhr
Goto Top
@dww
Oben behauptet der TO, er würde sich vorweg einmal anmelden - deswegen auch schon mein Hinweis auf die Kennwortchronik - außerdem geht es ja offensichtlich darum, dass das "Startpasswort" von den Usern beibehalten wird, sodass das Erzwingen der Passwortänderung bei ersten Logon ja auch schon für den "Grundstein" der Chronik genügen sollte ...

Grüße
bastla
Mitglied: dog
dog 25.03.2011 um 16:08:24 Uhr
Goto Top
Das schiebe ich jetzt auf die miese UMTS-Verbindung im ICE. Da laden die Seiten immer so lange face-wink
Mitglied: SoullessInk
SoullessInk 01.04.2011 um 09:15:05 Uhr
Goto Top
Danke, eine ähnliche Idee hatte ich auch gehabt, aber das hatte mir dann den endgültigen Stoß in die richtige Richtung gegeben. Ich hab's mit Powershell gemacht, war sogar relativ simpel. Die User, die ich damit identifizieren konnte, wurden direkt zum Passwortwechsel gezwungen.
Mitglied: 60730
60730 01.04.2011 um 09:44:42 Uhr
Goto Top
Moin,

wir sind ja immer gerne bereit zu geben - nehmen aber auch (für andere zukünftige Leser) Lösungen an, die genauso funktionieren.

(am liebsten zwischen <code> und </code>)
rem hier könnte deine Lösung stehen

Gruß & Glühstrumpf
Mitglied: SoullessInk
SoullessInk 01.04.2011 um 12:08:05 Uhr
Goto Top
Ja, sowas habe ich mir schon gedacht, nur zu meiner Schande muss ich gestehen, dass ich das Skript grad nicht zur Hand habe, sonst hätte ich das auch direkt mit dazu getragen, sorry, hätte ich vielleicht direkt erwähnen sollen, ich bring das ganze mal soweit wie ichs noch im Kopf habe:

$ldapRoot =[string]"LDAPServer"  
$user = [string]"User"  
$userPassword = [string]"Passwort"  
Damit würde ich nun den LDAP Server, den Username und das Passwort festlegen.
New-Object System.DirectoryServices.DirectoryEntry($ldaproot,$user,$userPassword)
Damit würde ich den Zugriff anhand der vorher vergebenen Daten gestalten, stimmt das Passwort und der Username, bekomme ich einen Pfad ausgegeben, bei falschem Passwort kommt auch entsprechende Meldung. Gefordert war, das ganze ja zu automatisieren, also brauche ich für das bisherige Konstrukt eine Abfrage der User und eine Schleife, die die abgefragten Benutzer automatisch einsetzt. Ich habe dafür das AD Modul benutzt
(Get-ADuser -Filter { Objectclass -eq "user" } | % { $_.SamAccountName }) | % { New-Object System.DirectoryServices.DirectoryEntry($ldaproot,$_,$userPassword) }  
Der letzte Befehl wird nicht funzen, habe damit selber probiert, läuft nicht. Ich komme aber auch einfach nicht mehr drauf, wie ich das gemacht habe. Aber das war mein Ansatz, vielleicht ist ja ein findiger unter uns, der das mal komplettiert, bevor ich das Skript wieder gefunden habe.