6
ADS Userinfos mit Passwort auslesen
Hallo Admins,
ich habe folgendes Problem. Im Internet findet man dieses und jenes zum Thema aber nichts was hilft.
In unserer ADS haben die User sich ein Passwort angelegt. Dieses wurde in der Vergangenheit in keinster Weise gepflegt oder geprüft. Nun soll aber dieses gemacht werden. Sprich die komplexität soll gechecked werden nd auch die Laufzeit des Passwortes. Dazu habe ich auch schon die Passfilt.dll gefunden und auch schon ein kleines C-Programm gebastelt, welches da die übergebenen Passwörter prüft. Die komplexität der Passwörter wird über eine config.dat bestimmt, die wir selber anlegen und dementprechend nach unseren Richtlinien ausstatten.
Um aber nun zu schauen ob der User auch das pwd so gewählt hat wie wir es wollen, müßte ich erstmal das pwd haben oder bekommen. Nur weiß ich nciht wie. In der ADS steht das pwd mit writeonly und ich kann es nicht auslesen da es verschlüsselt ist. Sicher kann ich hingehen und die haltbarkeit des pwd ändern das der User beim nächsten mal das pwd ändern muss aber wenn er das dann ändert steht es wieder in der ADS und ich komme da wieder nicht dran.
Muss ich den Logindialog anzapfen das dieser mir das pwd übermittelt, damit ich das erst prüfen kann bevor es in die ADS geschrieben wird?
? Ich will das pwd nicht in klartext haben es würde mir reichen dieses an meine Funktion übergeben zu können mit einer funktion die vielleciht der Server mir bietet um das pwd zu checken.
Nutzen tun wir den Windows 2003 Server
Gruß
Sven
ich habe folgendes Problem. Im Internet findet man dieses und jenes zum Thema aber nichts was hilft.
In unserer ADS haben die User sich ein Passwort angelegt. Dieses wurde in der Vergangenheit in keinster Weise gepflegt oder geprüft. Nun soll aber dieses gemacht werden. Sprich die komplexität soll gechecked werden nd auch die Laufzeit des Passwortes. Dazu habe ich auch schon die Passfilt.dll gefunden und auch schon ein kleines C-Programm gebastelt, welches da die übergebenen Passwörter prüft. Die komplexität der Passwörter wird über eine config.dat bestimmt, die wir selber anlegen und dementprechend nach unseren Richtlinien ausstatten.
Um aber nun zu schauen ob der User auch das pwd so gewählt hat wie wir es wollen, müßte ich erstmal das pwd haben oder bekommen. Nur weiß ich nciht wie. In der ADS steht das pwd mit writeonly und ich kann es nicht auslesen da es verschlüsselt ist. Sicher kann ich hingehen und die haltbarkeit des pwd ändern das der User beim nächsten mal das pwd ändern muss aber wenn er das dann ändert steht es wieder in der ADS und ich komme da wieder nicht dran.
Muss ich den Logindialog anzapfen das dieser mir das pwd übermittelt, damit ich das erst prüfen kann bevor es in die ADS geschrieben wird?
? Ich will das pwd nicht in klartext haben es würde mir reichen dieses an meine Funktion übergeben zu können mit einer funktion die vielleciht der Server mir bietet um das pwd zu checken.
Nutzen tun wir den Windows 2003 Server
Gruß
Sven
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 80038
Url: https://administrator.de/contentid/80038
Printed on: April 16, 2024 at 18:04 o'clock
6 Comments
Latest comment
Sicher kann ich hingehen und die haltbarkeit des pwd ändern das der User beim nächsten
mal das pwd ändern muss aber wenn er das dann ändert steht es wieder in der ADS
und ich komme da wieder nicht dran.
Du hast den Sinn eines Passworts erfaßt.mal das pwd ändern muss aber wenn er das dann ändert steht es wieder in der ADS
und ich komme da wieder nicht dran.
Hallo Sven,
ich verstehe nicht ganz, was eigentlich das Problem ist. Konfiguriere die KIenwwortrichtlinien in der Defaul Domain Policy oder einer eigenen GPO auf Domainebene, dann hast du Passwortlänge, Komplexität und Laufzeit. Wenn du dann noch die Passwortänderung beim nächsten Login komfigurierst, istd er Fall ab da erledigt.
Was du in diesem Fall mit gebastelten C-Programmen und Batch-Dateien vorhast, verstehe ich nicht wirklich.
geTuemII
servus,
ich schließe mich meinem vorredner an
guckst du hier und ferddich http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ...
versteh den sinn von deinem vorhaben auch net ganz ... ausserdem .. is das nicht verboten die pw's einfach so auszulesen ??
Gruß
ich schließe mich meinem vorredner an
guckst du hier und ferddich http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtlinien. ...
versteh den sinn von deinem vorhaben auch net ganz ... ausserdem .. is das nicht verboten die pw's einfach so auszulesen ??
Gruß
Ja und nein. Da einige Rechner für die Produktion wichtig sind sind da die Passwörter für die Firma Lebensnotwendig.
Warum ich das machen will bzw. soll ist folgendes Problem.
Die Passwortrichtlinien die von der Domainpolicy vorgegeben werden sind angeblich zu eng gestrickt als das diese für uns ausreichen ( fragt mich nciht warum )
Nun soll ich das Passwort auf gewisse Parameter abfragen bevor es in die ADS geschrieben steht.
Die Parameter die für das Passwort gelten sind vorher in einer configurationdatei festgelegt worden.
Beispiel
Gruppe 1 = Passwort egal
Gruppe 2 = Passwort mindestens 6 Zeichen Groß und Kleinbuchstaben.
.
.
.
So je nach Gruppenmitglied wird also dementsprechend eine andere Richtlinie gelten.
Um zu prüfen ob derjenige sich daran gehalten hat muss ich halt das Passwort abfangen und dann überprüfen.
Die Passworte werden dann wieder verschlüsselt weggeschrieben. Ich muss aber die Möglichkeit haben gewisse Passworte mir jederzeit wieder in Klartext anzeigen zu lassen.
Das ist die Aufgabenstellung an der ich mir zur Zeit halt die Zähne ausbeiße.
Es gibt ja sogar von Microsoft die Passfilt.dll die Prüfungen für Passworte übernimmt. Aber dazu muss ich dieser dll erstmal die Passworte übergeben damit diese dann geprüft werden können.
Die Laufzeit der Passworte bekomme ich ja ohne Problem aus der ADS heraus.
*grummel* ich weiß warum ich Anwendungsentwickler geworden bin und kein Netzwerkadmin und nun muss ich mich doch damit rumschlagen ;o)
Gruß
Sven
Warum ich das machen will bzw. soll ist folgendes Problem.
Die Passwortrichtlinien die von der Domainpolicy vorgegeben werden sind angeblich zu eng gestrickt als das diese für uns ausreichen ( fragt mich nciht warum )
Nun soll ich das Passwort auf gewisse Parameter abfragen bevor es in die ADS geschrieben steht.
Die Parameter die für das Passwort gelten sind vorher in einer configurationdatei festgelegt worden.
Beispiel
Gruppe 1 = Passwort egal
Gruppe 2 = Passwort mindestens 6 Zeichen Groß und Kleinbuchstaben.
.
.
.
So je nach Gruppenmitglied wird also dementsprechend eine andere Richtlinie gelten.
Um zu prüfen ob derjenige sich daran gehalten hat muss ich halt das Passwort abfangen und dann überprüfen.
Die Passworte werden dann wieder verschlüsselt weggeschrieben. Ich muss aber die Möglichkeit haben gewisse Passworte mir jederzeit wieder in Klartext anzeigen zu lassen.
Das ist die Aufgabenstellung an der ich mir zur Zeit halt die Zähne ausbeiße.
Es gibt ja sogar von Microsoft die Passfilt.dll die Prüfungen für Passworte übernimmt. Aber dazu muss ich dieser dll erstmal die Passworte übergeben damit diese dann geprüft werden können.
Die Laufzeit der Passworte bekomme ich ja ohne Problem aus der ADS heraus.
*grummel* ich weiß warum ich Anwendungsentwickler geworden bin und kein Netzwerkadmin und nun muss ich mich doch damit rumschlagen ;o)
Gruß
Sven
Für den Fall, daß du das Rad nicht zwanghaft neu erfinden willst, gibt es Software, die unterschiedliche Passwortreichtlinien gruppenweise zuweist: http://www.gruppenrichtlinien.de/index.html?/HowTo/Kennwortrichtli ... im Bereich Das Wichtigste...
geTuemII
geTuemII
danke das schaue ich mir mal an
ok danke habe die Lösung für mein Problem.
Wird aber doch auf eine erweiterung der Passfilt.dll hinauslaufen die dann dementrpechend der Doku eingebunden wird mit den passenden Registryeinträgen.
Trotzdem danke für eure Hilfe.
Kann schon verstehen das ihr nicht richtig mit der Sprache rauswollt. Immerhin könnte es ja wirklch sein das ich das Wissen nicht für die Arbeit sondern fürs Hacken von Servern nutzen will.
Werde die Lösung der Änderung der datei hier Nicht posten.
Gruß
Sven
Wird aber doch auf eine erweiterung der Passfilt.dll hinauslaufen die dann dementrpechend der Doku eingebunden wird mit den passenden Registryeinträgen.
Trotzdem danke für eure Hilfe.
Kann schon verstehen das ihr nicht richtig mit der Sprache rauswollt. Immerhin könnte es ja wirklch sein das ich das Wissen nicht für die Arbeit sondern fürs Hacken von Servern nutzen will.
Werde die Lösung der Änderung der datei hier Nicht posten.
Gruß
Sven
