mc-doubleyou
Goto Top

Passwort von Benutzer testen

Hallo zusammen,

kann mir wer sagen wie man, am besten per Batch, testen kann ob der Username und das Passwort zusammen passen.

Theoretisch sollte das denk ich mit net user möglich sein. Praktisch finde ich aber nichts was meine These bestätigt.

Also nochmal simple: Ich will testen ob das Passwort von User zB.: user ist und wenn nicht ...

Danke!

lg mc-dy

Content-Key: 157108

Url: https://administrator.de/contentid/157108

Ausgedruckt am: 28.03.2024 um 18:03 Uhr

Mitglied: maretz
maretz 16.12.2010 um 12:25:30 Uhr
Goto Top
Moin,

hättest du mit der Frage nicht bis zum Bashing-Friday warten können?

Klar - ich erklär dir jetzt wie du nen Angriff auf Passwörter machen kannst - damit du das gleich an meinem Server ausprobierst... Klasse!

Die alternative: Du willst das wirklich in der Firma machen. Dann BITTE mache das in ner Firma in der ich mal Arbeite! Dann kommst du zu mir und sagst dass das Passwort "maretz" bei dem Usernamen "maretz" nicht ok war. Glaub mir - du gehst danach zurück bis in die Steinzeit so wie ich dich dann zusammenfalte! Was glaubst du wer du bist? Der liebe Gott? Was passiert wenn ein User dasselbe PW für seinen privaten Email-Acc, Ebay u.ä. genommen hat?

Wenn du wissen willst wie die PWs der User sind - dann frag die. Wenn die es dir geben -ok, wenn nicht -> AUCH OK! Willst du komplexe Passwörter vorraussetzen dann nimm z.B. Gruppenrichtlinien o.ä.

Aber komme NIEMALS auf die Idee ein Passwort zu knacken! Glaub mir -> die Konsequenz die sich daraus ergibt haben für dich nicht nur Arbeits- sondern auch ganz extreme persönlich-Rechtliche Konsequenzen!

Weniger schönen Gruß!
Mitglied: 86263
86263 16.12.2010 um 12:29:07 Uhr
Goto Top
Und wieder was für Biber's Papierkorb - dabei ist gar nicht Montag face-wink
MfG,
DB
Mitglied: maretz
maretz 16.12.2010 um 12:30:49 Uhr
Goto Top
dann hoffe ich mal das dieser Beitrag gleich sowas von auf den boden des Papierkorbs gelangt das nie wieder jemand da was von liest...
Mitglied: BigWim
BigWim 16.12.2010 um 13:49:22 Uhr
Goto Top
Moin,

naja, vielleicht hat er ja nur ungeschickt gefragt und sucht nach einer Möglichkeit zu erkennen, ob ein neu eingerichtet User bereits sein Kennwort geändert hat.

Darf man das denn an dieser Stelle hier verraten?

Markus
Mitglied: maretz
maretz 16.12.2010 um 13:56:15 Uhr
Goto Top
Nein - weil das eine unsinnige Frage wäre. Es gibt einen wunderschönen Haken bei der Benutzerverwaltung von Windows: "Benutzer muss Kennwort bei der ersten Anmeldung ändern". Den Haken setzen -> und schon wird der Benutzer bei der ersten Anmeldung sein PW ändern müssen (zusammen mit komplexitätsrichtlinien auch in was passendes!). Garantiere ich dir für -> weil du nicht abbrechen kannst (bzw. nicht weitermachen kannst solang du das nicht getan hast).

Es gibt also auch dann KEINEN Grund das Benutzerpasswort knacken zu wollen!

Und es gibt noch weniger Gründe jemanden zu sagen wie man das macht -> oder möchtest du das jemand das bei deinem Server probiert? Ganz davon abgesehen: Selbst wenn DESSEN Ziele legitim sind -> kannst du garantieren das nicht irgendein Volldepp über Google dann den Thread findet und deine Anleitung für weniger heroische Ziele nutzt?
Mitglied: BigWim
BigWim 16.12.2010 um 14:23:06 Uhr
Goto Top
Ok, verstanden.

Es gibt einen wunderschönen Haken bei der Benutzerverwaltung
Ich dachte ja eher an die Variante, dass man 3.000 User hat und es Recht mühselig, jeden einzelnen durchzuklicken.

Dann halte ich mich besser raus, denn soooviel Erfahrung habe ich dann auch wieder nicht.

Markus
Mitglied: maretz
maretz 16.12.2010 um 14:31:59 Uhr
Goto Top
auch bei 3000 usern kann ich einmal alle markieren, eigenschaften und dann den Haken setzen. Das gilt dann für ALLE markierten User....
Mitglied: mc-doubleyou
mc-doubleyou 16.12.2010 um 14:48:35 Uhr
Goto Top
scheibar wurde ich gänzlich falsch verstanden -.-

Es geht darum das ein Programm mit bestimmten Rechten arbeitet und das unter einem bestimmten User.

Klarerweise kann das Programm nicht ordentlich arbeiten wenn dieser bestimmte Benutzer nicht existiert und oder das Passwort ein anderes ist.

Meine Frage war nun ob ich irgendwie testen kann ob der Benutzer User zb: eh immer noch das Passwort User hat. Damit dann wenn das nicht so ist gleich eine passende Fehlermeldung erscheinen kann.

Hoffe die Frage klingt so weniger dumm.

lg mc-dy
Mitglied: maretz
maretz 16.12.2010 um 15:09:33 Uhr
Goto Top
Moin,

nochmal: Fasse das User-Passwort an und du hast im dümmsten Fall mehr Action als alles andere an den Hacken! Von daher: GANZ SCHLECHTE IDEE!

a) Wenn du sagst das der User bei erstanmeldung sein PW ändern muss - dann kannst du dir sicher sein das sein PW nicht mehr User ist! -> Abfrage wäre also überflüssig!

b) Wenn der User nicht existiert - wie hat er sich dann angemeldet?

c) Wenn du das als Admin mittels "runAs" laufen lassen willst sollte das User-PW ganz egal sein -> da du als Admin das nicht brauchst um für den User was zu erstellen!

d) Wenn du sicher sein willst das du nur User erwischt die sich schonmal angemeldet haben - dann prüfe z.B. ob deren Home-Verzeichnis auf dem Server-Share liegt und z.B. eine ntuser.dat enthält. Oder lasse beim Login dir nen Wert in ne Liste schreiben und lese die aus...

Aber es ist wirklich ein gut gemeinter Rat: Versuche NIE das User-PW zu ermitteln! Was machst du denn wenn eben Herr Müller aus der Personal-Abteilung sein PW auf User gesetzt hat - und dieses auch bei Ebay verwendet? Dein Programm läuft durch und der bekommt das mit das du sein Passwort geknackt hast (weil es ja so schwer war). Also rennt der zum ober-Manitu von euch und sagt dem das die EDV das PW der Personal-Abteilung geknackt hat. Und was glaubst du was jetzt abgeht?

Und nebenbei: Ich bin auch schon ein paar Tage im Job. Und das sowohl als Admin wie auch als Programmierer. Und ich kann dir versichern es gibt KEINEN Grund das PW eines Users zu ermitteln! Ich habe eine PW-Liste in der ich die PWs der Mitarbeiter eingetragen habe die mir ihr PW freiwillig mitgeteilt haben (bei den anderen kann ich mich halt z.B. nach einem Update nicht zum Testen anmelden - die müssen dann Montags morgens ggf. warten bis die was machen können bis ich bei einem Fehler das beheben kann...). Und bei eigener Software kann man ja dann die Fehlerbehandlung entsprechend anpassen und/oder in den Hilfstext reinschreiben "Could not run - maybe wrong passwort?"
Mitglied: BigWim
BigWim 16.12.2010 um 15:16:05 Uhr
Goto Top
Es geht darum das ein Programm mit bestimmten Rechten arbeitet und das unter einem bestimmten User.
Schreib doch mal, wie Du das realisieren willst und was das Ziel dieser Aktion sein sollte. Vielleicht wird es klarer


Markus
Mitglied: mc-doubleyou
mc-doubleyou 16.12.2010 um 16:44:19 Uhr
Goto Top
OK dann eben mal alles im Detail:

Es gibt eine Software Publishing diese arbeitet mit CPAU und ermöglicht es dem User sich Programm zu installieren welche wir definiert haben. Also nicht jeden Müll.

Nun gibt es aber Altlasten in unserem System, wo manches anders ist. Damit man aber als lokaler Admin was installieren kann muss das Adminkonto mit dem Adminpasswort zusammenpassen.
Und genau das würde ich gerne prüfen. Damit nicht lange probiert wird vom User ob es den vl. doch klappt sondern gleich da steht:

Fehlerhafte Computereinstellungen
Benutzerkonto existiert nicht
oder Passwort des Benutzerkontos falsch

Es soll also getestet werden hört den das Konto "Admin" auf das Passwort "PWAdmin" oder nicht

Hab also nichts böses vor, wie Passwort schniffen oder sonst was sondern ein ganz einfacher legitimer Check.

lg mc-dy
Mitglied: BigWim
BigWim 16.12.2010 um 17:39:41 Uhr
Goto Top
Was ich an der ganzen Sache noch nicht verstehe:

Wenn doch die Software unter "dem" Konto installiert werden muß, dann wird doch vorher eine Anmeldung fällig. Wenn die dann scheitert, startet doch erst gar nicht die Installation.

Ansonsten würde ich empfehlen, eine weitere Softwareinstallation "freizuschalten", die bei möglichen Fehlern aufzurufen ist (oder vor der eigentlichen Installation automatisch vorgeschaltet werden kann?). Hier bei wird allerdings nichts installiert, sondern geprüft und ggfs. Fehlermeldungen ausgegeben. Unter Prüfung verstehe ich jede harmlose Aktion, die "das" Konto darf, was aber ein User nicht darf.

Markus
Mitglied: mc-doubleyou
mc-doubleyou 16.12.2010 um 17:58:13 Uhr
Goto Top
Hallo,

diese Software Publishing exe kommt ohne Rechte aus erst was dann installiert wird benötigt Adminrechte. Klarerweise läuft aber alles ins Nirvana wenn der Benutzer "Admin" nicht existiert oder ein anderes Passwort hat. Und darum die Prüfung ob das System dem Standard entspricht ehe mal da lange Dateien kopiert usw.

Wenn es nicht passt soll ein Fenster erscheinen, dann sollen die mich anrufen und ich kann das schnell ändern, alle sind glücklich und der User muss nicht 50 mal versuchen und denkt sich komisch naja ein 51stes mal geht noch.

lg mc-dy
Mitglied: filippg
filippg 16.12.2010 um 20:20:22 Uhr
Goto Top
Hallo,

manche Kommentare hier sind schon sehr wenig hilfreich. Aber manche rasten aus, wenn sie "Passwort" lesen.

Ich kann jetzt allerdings nicht erkennen, in welcher Sprache du das ganze machen willst, und ob es um lokale oder AD-Accounts geht. Aber die Stichwörter für die Suche im Internet sind "windows validate credentials", damit findet man seitenlange VB-Skripte von MS http://support.microsoft.com/kb/279815/en-us oder sehr kompakte PS-Skripte (für AD) http://poshcode.org/1393 und bestimmt auch was für dich passendes.

Gruß

Filipp
Mitglied: mc-doubleyou
mc-doubleyou 16.12.2010 um 21:20:29 Uhr
Goto Top
Hallo,

Batch wär mir am liebsten, den so ist das ganze Programm geschrieben. Wenns aber nicht anders geht muss ich eben auf vbs zurück greifen.

Danke das mich endlich wer versteht! face-wink

lg mc-dy
Mitglied: BigWim
BigWim 17.12.2010 um 12:55:50 Uhr
Goto Top
Moin,

ich vermute mal, dass sehr schwierig bis unmöglich ist, diese API-Aufrufe in einer Batch unterzubringen.

Vielleicht ist es ja noch eine Alternative, sich ein Dos-Befehl auszugucken, dem man einen User und Kennwort mitgeben muß. Dann könntest Du über das Ergebnis prüfen, ob die Anmeldung erfolgreich ist.

z. B. tasklist /U

Markus
Mitglied: mc-doubleyou
mc-doubleyou 17.12.2010 um 13:45:22 Uhr
Goto Top
Hallo,

die Idee war sehr nett aber leider nutzt das nichts. Lokal wird tasklist auch ausgegeben auch wenn Anmeldung falsch.


Zitat von [System]:
WARNUNG: Benutzeranmeldeinformationen können für lokale Verbindungen nicht verwendet werden.

lg mc-dy
Mitglied: BigWim
BigWim 17.12.2010 um 14:00:27 Uhr
Goto Top
Moin,

und Verbindung mit einem Server?

Als tasklist /s <Server> /u


Markus
Mitglied: mc-doubleyou
mc-doubleyou 17.12.2010 um 14:46:20 Uhr
Goto Top
Hallo,

habs auch so mehr oder minder gelöst.

Und zwar über Errorlevel einziges Problem das ich noch habe ist das ich eine exe Datei brauche die nichts macht. Klingt komisch ist aber so.

Den beim Test ob es den klappt soll ja nicht wirklich was passieren. Gibt es sowas wie eine blind.exe? Wenn diese dann noch von einem UNC Pfad "ausgeführt" (soll ja eben nichts machen) werden könnte wäre das perfekt.

lg mc-dy

Nice Weekend! face-wink
Mitglied: BigWim
BigWim 17.12.2010 um 15:16:35 Uhr
Goto Top
Moin,

Und zwar über Errorlevel einziges Problem das ich noch habe ist das ich eine exe Datei brauche die nichts macht. Klingt
komisch ist aber so.
Nimm die Sleep.exe. Die wartet nur. Wie verrät Dir sleep /?

ich hätte jetzt erwartet, dass Du eine kleine cmd erstellst, die ein einfaches echo Hallo >text.txt macht.
Mit if exist kannst Du doch dann feststellen, um die "Anwendung" ausgeführt wurde.

Markus
Mitglied: n.o.b.o.d.y
n.o.b.o.d.y 17.12.2010 um 21:24:41 Uhr
Goto Top
Hallo,

wäre es nicht am sinnvollsten einfach per GPO den User auf alle Rechner anzulegen. Dann brauchste da nichts mehr abfragen. Setzt natürlich ein AD voraus...
Mitglied: mc-doubleyou
mc-doubleyou 17.12.2010 um 21:35:56 Uhr
Goto Top
Hallo,

wohl wahr und genau das ist leider nicht gegeben aber danke trotzdem

lg mc-dy