Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

AD User Passwörter vergleichen

Frage Microsoft Windows Userverwaltung

Mitglied: SoullessInk

SoullessInk (Level 1) - Jetzt verbinden

25.03.2011, aktualisiert 15:56 Uhr, 6238 Aufrufe, 21 Kommentare

Muss User mit gleichem Passwort im AD finden

Hi,

ich habe nochmal ein kleines Problem. Ich muss herausfinden, welche unserer AD User ein und dasselbe Passwort benutzen. Einige benutzen da ein Standard-Passwort und das ist natürlich ein Sicherheitsproblem. Diese User muss ich also ausfindig machen um die Sicherheitslücke zu schließen. Bei knapp 400 Usern jeden mal einzeln durch zu probieren, ist etwas schwierig. Ich weiß, dass der Hashwert unter einem bestimmten Attribut gespeichert wird, man dieses aber nicht sehen kann, auch nicht als Admin. Aber irgendwie muss man das ja ansprechen können?!
Hat jemand ne Idee? Ich bin für jeden Vorschlag dankbar!

Grüße

SoullessInk
Mitglied: 98701
25.03.2011 um 09:32 Uhr
Hi,

stell doch einfach ein das alle User das Kennwort bei der nächsten Anmeldung ändern müssen und verbiete das alte Passwort.

Schöne Grüße
Bitte warten ..
Mitglied: tikayevent
25.03.2011 um 09:50 Uhr
Besagtes Feld mit dem Passwort-Hash ist ein Write Only-Feld, sprich du kannst schreiben, aber nicht lesen. Hat den Grund, dass selbst ein Hash nicht sicher ist. Die einzige Möglichkeit wäre wirklich, die Passwortrichtlinien anzupassen.

Hier bekommt jeder Benutzer zur Erstanmeldung ein zufälliges Passwort, welches dann bei der ersten Anmeldung direkt geändert werden muss. Desweiteren muss es eine gewisse Komplexität haben (die MS Komplexitätsrichtlinien halt), es benötigt eine Mindestlänge, darf nur für 90 oder 180 Tage genutzt werden (müsste ich nachschauen) und es darf nicht wiederverwendet werden (Passwortchronik 12 Passwörter)
Bitte warten ..
Mitglied: Biber
25.03.2011 um 09:57 Uhr
Moin SoullessInk,

wie tikayevent schon geschrieben hat - wenn die Benutzer "keine Standardpassworte" (was immer das sein soll) verwenden sollen, dann kannst du das über die Kennwortrichtlinien festlegen.
Und musst es IMHO als halbwegs seriöser Hilfs-AD-Admin auch.

Wenn du/ihr das bisher verratzt habt, dann verplempere keine Zeit mit "gucken, wer als Passwort '12345' verwendet".
Wozu denn? Willst du diese User dann einzeln in der Kantine ansprechen?

Grüße
Biber
Bitte warten ..
Mitglied: SoullessInk
25.03.2011 um 10:04 Uhr
danke für die schnellen Antworten.

@ Bathomy: Das wäre auch eine Idee, aber bei der Anzahl der User eher ungünstig. wenn ich jetzt für alle 400 User einstelle, dass Sie ihr Passwort ändern müssen, kriege ich wenigstens 360 anrufe, warum Sie auf einmal ihr Passwort ändert müssen und mit wahrscheinlich weiteren Beschwerden.

Das Problem ist, wenn ein User "eingerichtet" wird, bekommt er genau jenes Standard Passwort, z.B. "Passw0rd", was ja auch den Anforderungen entspricht. Wie würde sich das jetzt verhalten, wenn ich genau dieses Passwort verbiete? Aktuell muss ich mich, bevor der User seinen acc bekommt auch wenigstens einmal mit dem User anmelden, um einige Einstellungen vorzunehmen, wie z.B. das Outlook. Daher kann ich nicht sofort den Haken setzen, dass er das Passwort bei nächster Anmeldung ändern muss, sondern erst, wenn ich mich einmal angemeldet habe. Wie würde das mit dem zufälligen Passwort gehen?

Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben.
Bitte warten ..
Mitglied: tikayevent
25.03.2011 um 10:08 Uhr
Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben. face-smile

Kann ich nicht bestätigen. Jeder Mitarbeiter unterschreibt, dass er sein Passwort nicht weitergeben darf, worunter auch das aufschreiben zählt und da gibt´s hier einen kurzen Prozess. Wenn ich hier mal durch die Büros gehe und sowas sehe, wird einfach das Passwort geändert. Und zwar so lange, bis die es kapieren. Als ich das letzte mal hier durchgelaufen bin, gabs kein einziges aufgeschriebenes Passwort.

Outlook müssen hier alle selbst einstellen, dafür gibt´s ne Anleitung. Bis auf zwei Querschläger letztes Jahr, die eh schon so zu doof sind, zu überleben, klappt das wunderbar.
Bitte warten ..
Mitglied: brammer
25.03.2011 um 10:13 Uhr
Hallo,

bei 400 User gibt es vermutlich eine AD und da kannst du per GPO veranlassen das das Password geändert werden muss.
Mindestens 8 Zeichen, keine Wörter aus einem Wörterbuch, Groß und Klein Schreibung als Muss und mindestens ein Sonderzeichen.
Als Grundlage dafür gibt es hoffentlich eine Nutzungsrichtline für EDV und Kommunikationsmittel!

brammer
Bitte warten ..
Mitglied: 98701
25.03.2011 um 10:21 Uhr
Hi,

kannst ja vorher eine E-Mail raus schicken und alle informieren ;)

Schöne Grüße
Bitte warten ..
Mitglied: BigWim
25.03.2011 um 10:29 Uhr
Moin SoullessInk,

unsere neuen oder vergeßlichen Benutzer bekommen bei uns auch einen "Standard"Kennwort. Nur benutzen wir bei der Anlage / Rücksetzung auch die Einstellung "Kennwort muß bei der ersten Anmeldung geändert werden".

So können wir bei Massenanlagen bzw. Umstellungen erkennen, wer das Kennwort nicht geändert (z. B. Urlaub / Krankheit) und deaktivieren das Konto.

Alles Revisionsvorgaben ebenso die Änderung des Kennwortes alle 30 Tage.

Grüße
Markus
Bitte warten ..
Mitglied: bastla
25.03.2011 um 10:33 Uhr
... und wenn dann noch per "Kennwortchronik erzwingen" verhindert wird, dass gleich wieder das selbe Passwort (oder eines der x vorher verwendeten Passwörter) gesetzt wird, sollte sich das Thema erledigt haben ...

Grüße
bastla
Bitte warten ..
Mitglied: SlainteMhath
25.03.2011 um 11:27 Uhr
Moin,

kannst ja vorher eine E-Mail raus schicken und alle informieren ;)
Besser. eine Email von der GL/GF/Vorstand raussenden lassen - das beschwert sich dann bei dir hinterher auch keiner .)

lg,
Slainte
Bitte warten ..
Mitglied: DerWoWusste
25.03.2011 um 12:50 Uhr
Anmerkung: Du kannst mit Bordmitteln keine bestimmten Kennwörter verbieten.
Bitte warten ..
Mitglied: 98701
25.03.2011 um 14:22 Uhr
Hi,

man kann doch im AD das alte Passwort verbieten oder täusche ich mich jetzt da? oO

Schöne Grüße
Bitte warten ..
Mitglied: DerWoWusste
25.03.2011 um 15:04 Uhr
Kann man nicht. Er besitzt noch keine Kennwortchronik. Hätte er bereits eine, dann ließe sich das letzte Kennwort natürlich erst wieder nach x Kennwortintervallen nutzen.
Bitte warten ..
Mitglied: 60730
25.03.2011 um 15:07 Uhr
Moin Junxs und Mädelz...

Farühm zo Gomblifiziert? - dann doch lieber ungetestet ins Blaue rein....

01.
for /f "tokens=1-3" %%a in ('net user /domain') do ( 
02.
        title %%a 
03.
        net use b: \\server\freigabe Passw0rd /user:domain\%%a && echo %%a ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d 
04.
        title %%b 
05.
        net use b: \\server\freigabe Passw0rd /user:domain\%%b && echo %%b ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d 
06.
        title %%c 
07.
        net use b: \\server\freigabe Passw0rd /user:domain\%%c && echo %%c ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d 
08.
)
edit
- jo tokens 1-3 und dann nur %%a nutzen issse scheibenkäse - aber der gefundene Bock heisst immer noch nix dass ich mache test von dem da, weil isch nix habbe Tomaähn auf Eipäd
/edit




Gruß
Bitte warten ..
Mitglied: dog
25.03.2011 um 16:00 Uhr
Warum machen es eigentlich alle so kompliziert?

Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.
Bitte warten ..
Mitglied: 60730
25.03.2011 um 16:05 Uhr
moin Dog,

Zitat von dog:
Warum machen es eigentlich alle so kompliziert?

Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem
Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.

  • hüstel - lösch mal deinen Browsercache - und schau mal eine paar Zeilen höher

Gruß
Bitte warten ..
Mitglied: bastla
25.03.2011 um 16:06 Uhr
@DWW
Oben behauptet der TO, er würde sich vorweg einmal anmelden - deswegen auch schon mein Hinweis auf die Kennwortchronik - außerdem geht es ja offensichtlich darum, dass das "Startpasswort" von den Usern beibehalten wird, sodass das Erzwingen der Passwortänderung bei ersten Logon ja auch schon für den "Grundstein" der Chronik genügen sollte ...

Grüße
bastla
Bitte warten ..
Mitglied: dog
25.03.2011 um 16:08 Uhr
Das schiebe ich jetzt auf die miese UMTS-Verbindung im ICE. Da laden die Seiten immer so lange
Bitte warten ..
Mitglied: SoullessInk
01.04.2011 um 09:15 Uhr
Danke, eine ähnliche Idee hatte ich auch gehabt, aber das hatte mir dann den endgültigen Stoß in die richtige Richtung gegeben. Ich hab's mit Powershell gemacht, war sogar relativ simpel. Die User, die ich damit identifizieren konnte, wurden direkt zum Passwortwechsel gezwungen.
Bitte warten ..
Mitglied: 60730
01.04.2011 um 09:44 Uhr
Moin,

wir sind ja immer gerne bereit zu geben - nehmen aber auch (für andere zukünftige Leser) Lösungen an, die genauso funktionieren.

(am liebsten zwischen <code> und </code>)
01.
rem hier könnte deine Lösung stehen
Gruß & Glühstrumpf
Bitte warten ..
Mitglied: SoullessInk
01.04.2011 um 12:08 Uhr
Ja, sowas habe ich mir schon gedacht, nur zu meiner Schande muss ich gestehen, dass ich das Skript grad nicht zur Hand habe, sonst hätte ich das auch direkt mit dazu getragen, sorry, hätte ich vielleicht direkt erwähnen sollen, ich bring das ganze mal soweit wie ichs noch im Kopf habe:

01.
$ldapRoot =[string]"LDAPServer" 
02.
$user = [string]"User" 
03.
$userPassword = [string]"Passwort"
Damit würde ich nun den LDAP Server, den Username und das Passwort festlegen.
01.
New-Object System.DirectoryServices.DirectoryEntry($ldaproot,$user,$userPassword)
Damit würde ich den Zugriff anhand der vorher vergebenen Daten gestalten, stimmt das Passwort und der Username, bekomme ich einen Pfad ausgegeben, bei falschem Passwort kommt auch entsprechende Meldung. Gefordert war, das ganze ja zu automatisieren, also brauche ich für das bisherige Konstrukt eine Abfrage der User und eine Schleife, die die abgefragten Benutzer automatisch einsetzt. Ich habe dafür das AD Modul benutzt
01.
(Get-ADuser -Filter { Objectclass -eq "user" } | % { $_.SamAccountName }) | % { New-Object System.DirectoryServices.DirectoryEntry($ldaproot,$_,$userPassword) }
Der letzte Befehl wird nicht funzen, habe damit selber probiert, läuft nicht. Ich komme aber auch einfach nicht mehr drauf, wie ich das gemacht habe. Aber das war mein Ansatz, vielleicht ist ja ein findiger unter uns, der das mal komplettiert, bevor ich das Skript wieder gefunden habe.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(2)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst AD-User einer AD-Gruppe auslesen und in ein File schreiben (15)

Frage von Estefania zum Thema Windows Server ...

Windows Server
gelöst Wie AD User sauber löschen? (34)

Frage von McLion zum Thema Windows Server ...

Batch & Shell
gelöst Powershell Informationen über AD-User auslesen (4)

Frage von Tungdal zum Thema Batch & Shell ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...