7
Passwortänderung lokaler Konten in einer 2008er Domäne
Moin Leute,
ich stehe gerade vor der Aufgabe, das Kennwort des lokalen Administrator Kontos aller Clients (XP, Win7 & Win8) in einer 2008er Domäne zu ändern. Am liebsten wäre mir das ja mithilfe einer GPO nur kam Microsoft ja auf die gloreiche Idee, die Möglichkeit rauszupatchen - zumindest über Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups. Wenn hier jemand eine andere Möglichkeit kennt immer her damit :D.
Microsoft bietet einem ja ein Powershellscript als Alternative an nur, soweit ich das richtig verstanden habe, verteilt das Script zufallsgenerierte Kennwörter und speichert die danach in einer .csv - ist in meinem Fall also auch nicht das Mittel der Wahl.
Nun habe ich vom pspasswd gelesen, welches in Teil der PSTools ist und finde das gar nicht mal so verkehrt bis auf die Tatsache, dass es bei den 1300 Clients, welche ich versorgen muss ewig dauern würde. Ich habe das Tool an einer Gruppe aus 5 Clients getestet wovon ca. die Hälfte offline war und der Timeout dauert einfach ewig.
Ein script beim Booten auszuführen finde ich recht unelegant und würde das gerne umgehen, da ja auch das Kennwort dann beim Scriptdurchlauf angezeigt wird.
Ich hoffe ihr habt ein paar nette Ideen für mich
Vielen Dank schonmal und viele Grüße
Oni
ich stehe gerade vor der Aufgabe, das Kennwort des lokalen Administrator Kontos aller Clients (XP, Win7 & Win8) in einer 2008er Domäne zu ändern. Am liebsten wäre mir das ja mithilfe einer GPO nur kam Microsoft ja auf die gloreiche Idee, die Möglichkeit rauszupatchen - zumindest über Computer Configuration -> Preferences -> Control Panel Settings -> Local Users and Groups. Wenn hier jemand eine andere Möglichkeit kennt immer her damit :D.
Microsoft bietet einem ja ein Powershellscript als Alternative an nur, soweit ich das richtig verstanden habe, verteilt das Script zufallsgenerierte Kennwörter und speichert die danach in einer .csv - ist in meinem Fall also auch nicht das Mittel der Wahl.
Nun habe ich vom pspasswd gelesen, welches in Teil der PSTools ist und finde das gar nicht mal so verkehrt bis auf die Tatsache, dass es bei den 1300 Clients, welche ich versorgen muss ewig dauern würde. Ich habe das Tool an einer Gruppe aus 5 Clients getestet wovon ca. die Hälfte offline war und der Timeout dauert einfach ewig.
Ein script beim Booten auszuführen finde ich recht unelegant und würde das gerne umgehen, da ja auch das Kennwort dann beim Scriptdurchlauf angezeigt wird.
Ich hoffe ihr habt ein paar nette Ideen für mich
Vielen Dank schonmal und viele Grüße
Oni
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 285325
Url: https://administrator.de/contentid/285325
Printed on: May 12, 2024 at 11:05 o'clock
7 Comments
Latest comment
Die Jungs von ScriptingGuys haben da folgende Lösung:
http://blogs.technet.com/b/heyscriptingguy/archive/2009/03/25/how-can-i ...
http://blogs.technet.com/b/heyscriptingguy/archive/2009/03/25/how-can-i ...
Bei unserer 2008er Domäne funktioniert das alles wunderbar.
GPO Lokaler Admin aktualisieren.
Siehe Screenshot.
GPO Lokaler Admin aktualisieren.
Siehe Screenshot.
Tjelvar, Du kannst keine Kennwörter auf diesem Wege festlegen, das wurde weggepatcht, da unsicher.
@OniChan: Nimm meine Anleitung, dann brauchst Du keinen lokalen Admin mehr: Sicherer Umgang mit Supportkonten
@OniChan: Nimm meine Anleitung, dann brauchst Du keinen lokalen Admin mehr: Sicherer Umgang mit Supportkonten
Dafür dass das nicht geht funktioniert das wunderbar. :D
Ja, wenn die Policy einmal erstellt ist, funktioniert sie weiter. Aber neu erstellen kannst Du sie nicht. Auch solltest Du Dir klar werden, was das Problem ist, warum es also weggepatcht wurde. Solche Policies will man nicht im Netzwerk haben, das ist die größte Sicherheitslücke überhaupt: man kann dieses Kennwort einfach auslesen.
@Tjelvar: entweder ist euer DC nicht durchgepatcht (in dem Fall kannst die GPO auch noch ändern) oder es ist wie DerWoWusste schon gesagt hat ihr ändert da einfach nichts mehr dran und dann funktioniert es weiterhin - denn mit KB2962486 ( https://support.microsoft.com/de-de/kb/2962486 ) hat Microsoft die Möglichkeit rausgepatcht.
@DerWoWusste: Danke - ich werde mir mal deine Anleitung zu gemüte führen nur bin ich mir noch nicht sicher, ob das hier so gewünscht ist
Danke erstmal
@DerWoWusste: Danke - ich werde mir mal deine Anleitung zu gemüte führen nur bin ich mir noch nicht sicher, ob das hier so gewünscht ist
Danke erstmal
Die Alternative von Microsoft (welche ich für deutlich unpraktischer halte als meine) ist LAPS: https://www.microsoft.com/en-us/download/details.aspx?id=46899
