derwowusste
Goto Top

Theorie hinter Reset-ComputerMachinePassword

Moin Kollegen.

Jeder hat früher oder später mal einen Domänencomputer, der die Vertrauensstellung zur Domäne verloren hat.
Patentrezept dagegen: raus aus der Domäne und wieder rein. Besseres Rezept: als lokaler Admin anmelden und Reset-ComputerMachinePassword auf der Powershell ausführen.
Mir fiel nun auf, dass man dabei keine Credentials angeben muss und es funktioniert trotzdem.
Ich verstehe nicht, warum. Wie kann es sein, dass ein lokaler Admin auf das AD schreiben darf (denn das tut er gerade, wenn das Rechnerkennwort zurückgesetzt wird)?

Klar, man kann argumentieren, dass er irgendwie das Systemkonto (welches ja ein Objekt im AD ist) dazu bewegt, für ihn zu handeln, aber gerade diesem Systemkonto wird ja (mangels gültigem Kennwort) derzeit nicht mehr vertraut.
Ich frage deshalb, weil ich dieses Sicherheitsprinzip hinterfragen möchte: was bringt es noch, einem PC de Vertrauensstellung zu entziehen, wenn er sie sich selbst wieder geben darf, auch ohne Domänencredentials?

Vielleicht hat sich ja jemand schon einmal diese Frage beantworten können.

Content-Key: 299754

Url: https://administrator.de/contentid/299754

Ausgedruckt am: 29.03.2024 um 14:03 Uhr

Mitglied: 114757
Lösung 114757 22.03.2016 aktualisiert um 10:32:48 Uhr
Goto Top
Hi DWW,
der Artikel erklärt das ziemlich gut, besonders die letzte Frage geht auf deine Frage näher ein
https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-pas ...

Gruß jodel32
Mitglied: emeriks
emeriks 22.03.2016 um 10:36:17 Uhr
Goto Top
@114757
Guter Link, danke.
Allerdings erklärt das bloß Szenarien, wo der Client lokal das Passwort als geändert gespeichert hat, in der Domäne das aber nicht angekommen ist. Hier würde der Client also das letzte Passwort nochmal ausgraben, sich damit anmelden und dann das Passwort neu setzen.

@dww
Ich würde also annehmen, dass Dein Fall dem o.g. entspricht.
Mitglied: DerWoWusste
DerWoWusste 22.03.2016 aktualisiert um 10:44:41 Uhr
Goto Top
@114757
Moin. Ah... du meinst, weil das vorige zwischengespeicherte noch stimmt, wird ihm soweit vertraut, dass er es zumindest ändern darf?
Mitglied: 114757
114757 22.03.2016 aktualisiert um 10:49:19 Uhr
Goto Top
Zitat von @DerWoWusste:

@114757
Moin. Ah... du meinst, weil das vorige zwischengespeicherte noch stimmt, wird ihm soweit vertraut, dass er es zumindest ändern darf?
In dem Fall gibt es keinen Vertrauensverlust, den gibt es nur wenn der Client kein gültiges altes Passwort mehr parat hat, nach mehr wie zwei Änderungen ist das nämlich weg.

Ich vermute das durch die pure Existenz des Computerkontos im AD das Kennwort trotzdem noch durch netdom oder via PS geändert werden kann, Anhand der GUID oder sonst was.
Mitglied: DerWoWusste
DerWoWusste 22.03.2016 um 10:52:13 Uhr
Goto Top
Ja, das wird es sein, 2 Kennwörter werden herangezogen, das wusste ich nicht. Danke!