6
Powershell AD 2008 set-aduser -AllowReversiblePasswordEncryption
Hallo,
ich habe ein AD mit Server 2008 SP2 DCs.
Momentan richte ich die Authentifizierung 802.1x ein und muss für die MAC-Authentifizierung Benutzerkonten anlegen und die reversible Kennwortverschlüsselung aktivieren.
Ich habe bereits ein Powershell Skript erstellt mit, mit dem ich über new-quaduser das Konto anlege und diverse Einstellungen setze. Um nun die reversible Kennwortverschlüsselung zu aktivieren, benötige ich wohl den Befehl
set-aduser userxxxx -AllowReversiblePasswordEncryption:true , den ich jedoch nicht zur Verfügung habe.
Import-Module ActiveDirectory geht leider auch nicht. Soweit ich gelesen habe, gibt es das Modul wohl erst, wenn ich einen DC mit Server 2008 R2 habe.
Kann mir jemand helfen wie ich die reversible Verschlüsselung in Powershell ohne 2008 R2 umsetzen kann?
Per Kennwortrichtlinie in der Default Domain Policy kann ich es nicht setzen, da es generell nicht reversibel sein soll, sondern nur bei diesen MAC Ausnahmen.
Gruß, Schuhmann
ich habe ein AD mit Server 2008 SP2 DCs.
Momentan richte ich die Authentifizierung 802.1x ein und muss für die MAC-Authentifizierung Benutzerkonten anlegen und die reversible Kennwortverschlüsselung aktivieren.
Ich habe bereits ein Powershell Skript erstellt mit, mit dem ich über new-quaduser das Konto anlege und diverse Einstellungen setze. Um nun die reversible Kennwortverschlüsselung zu aktivieren, benötige ich wohl den Befehl
set-aduser userxxxx -AllowReversiblePasswordEncryption:true , den ich jedoch nicht zur Verfügung habe.
Import-Module ActiveDirectory geht leider auch nicht. Soweit ich gelesen habe, gibt es das Modul wohl erst, wenn ich einen DC mit Server 2008 R2 habe.
Kann mir jemand helfen wie ich die reversible Verschlüsselung in Powershell ohne 2008 R2 umsetzen kann?
Per Kennwortrichtlinie in der Default Domain Policy kann ich es nicht setzen, da es generell nicht reversibel sein soll, sondern nur bei diesen MAC Ausnahmen.
Gruß, Schuhmann
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 186433
Url: https://administrator.de/contentid/186433
Printed on: April 18, 2024 at 14:04 o'clock
6 Comments
Latest comment
Hi
hab grad keinen 2008er Server zur Hand, aber diese Option lässt sich in den Eigenschaften jedes SUers im AD Users and Computers Snap-in einstellen. ODer muss es unbedingt ein Skript sein. Die Active-Directory cmdlets gehen erst mit 2008 R2
LG
hab grad keinen 2008er Server zur Hand, aber diese Option lässt sich in den Eigenschaften jedes SUers im AD Users and Computers Snap-in einstellen. ODer muss es unbedingt ein Skript sein. Die Active-Directory cmdlets gehen erst mit 2008 R2
LG
Willst Du es nicht wie von Catachan beschrieben machen, kannst Du es auch per PSO machen. PSOs wirken auch auf einzelne Nutzer bzw. Nutzergruppen, ohne die anderen zu behelligen und reversibleencr. ist ein teil davon.
Voraussetzung: Funktionslevel der Domäne ist 2008.
Voraussetzung: Funktionslevel der Domäne ist 2008.
Hi,
die Option in den Eigenschaften zu setzten kenne ich, kommt jedoch nicht in Frage da es ein mords Aufwand wäre.
Ein PSO habe ich schon im Einsatz. Das Problem damit ist nur folgendes:
Default Domain Policy: reversible.... : deaktiviert
Ich lege Benutzer an und Kennwort wird nicht reversible gespeichert.
Dann weise ich Benutzer der Gruppe zu, auf die das PSO wirkt.
Im AD ist bei dem Benutzer der Haken bei reversible.... aber danach nicht drin, also greift die Einstellung des PSO nicht, oder? Die Kennworteinstellungen des PSO greifen aber sehr wohl.
Deshalb will ich per Skript dann bei dem neuen Benutzer das reversible aktivieren und das Kennwort neu setzen. (damit es dann reversible gespeichert ist).
Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt.
Gruß
die Option in den Eigenschaften zu setzten kenne ich, kommt jedoch nicht in Frage da es ein mords Aufwand wäre.
Ein PSO habe ich schon im Einsatz. Das Problem damit ist nur folgendes:
Default Domain Policy: reversible.... : deaktiviert
Ich lege Benutzer an und Kennwort wird nicht reversible gespeichert.
Dann weise ich Benutzer der Gruppe zu, auf die das PSO wirkt.
Im AD ist bei dem Benutzer der Haken bei reversible.... aber danach nicht drin, also greift die Einstellung des PSO nicht, oder? Die Kennworteinstellungen des PSO greifen aber sehr wohl.
Deshalb will ich per Skript dann bei dem neuen Benutzer das reversible aktivieren und das Kennwort neu setzen. (damit es dann reversible gespeichert ist).
Ich hoffe ich hab mich einigermaßen verständlich ausgedrückt.
Gruß
Hi
eine weitere Möglichkeit wäre per vbscript
Hier gibts ein Skript das die OPtione deaktiviert. Musst du also nur den Wert ändern und deinen Filter entsprechend anpassen.
http://www.vbsedit.com/scripts/ad/users/pwds/scr_145.asp
LG
eine weitere Möglichkeit wäre per vbscript
Hier gibts ein Skript das die OPtione deaktiviert. Musst du also nur den Wert ändern und deinen Filter entsprechend anpassen.
http://www.vbsedit.com/scripts/ad/users/pwds/scr_145.asp
LG
Du müsstest mal prüfen, ob das mit der PSO nicht doch geht. Die PSO schreibt ja nicht ins Nutzerobjekt, deshalb wundert es mich nicht, dass der Haken nicht verändert wird.
Hallo,
du hast vollkommen Recht. Obwohl der Haken im Objekt nicht angezeigt wird, wirkt die PSO aber trotzdem.
Es funktioniert auch direkt so wenn ich den User erstelle und der Gruppe mit der PSO zuweise.
Danke.
du hast vollkommen Recht. Obwohl der Haken im Objekt nicht angezeigt wird, wirkt die PSO aber trotzdem.
Es funktioniert auch direkt so wenn ich den User erstelle und der Gruppe mit der PSO zuweise.
Danke.
