Setzen "User muss Kennwort bei der nächsten Anmeldung ändern"

[mm53 0]

Hallo zusammen,

 

ich bin neu hier... :-)

 

Ich habe ein kleines Problem....

 

In unserer Firma gibt es eine Revisionsfestsellung zum Thema "Kennwort Änderung bei lokalen BUILT-IN-Admin-Konten".

So weit so gut. Jetzt war die Idee die betroffenen Konten per SCCM zu deaktivieren und mit einem unbekannten PW zu versehen.

 

Sollte das Konto für Wartungsarbeiten benötigt werden, kann per SCCM und Orchestrator-Workflow das Konto aktiveriert und mit einem StandardPW versehen werden, incl. dem UserFlag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern".

 

Leider läßt sich dieses Flag nicht setzen, da lt. MS das Flag read-only ist. (http://msdn.microsoft.com/en-us/library/aa772300(VS.85).aspx).

 

Hat jemand eine schlaue Idee das Ganze, am Besten per Powershell V2.0 (W2K3-Server sind noch am Start....) zu lösen.

 

Danke für Eure Hilfe

mm53

[Daniel -MSFT- 129]

Geht mit dsmod:

dsmod user UserDN -pwdNewPassword

dsmod user UserDN -mustchpwd {yes|no}

 

Via PowerShell gehts imho ab Windows Server 2008: http://technet.microsoft.com/de-de/library/dd391883.aspx

bearbeitet 23. April 2014 von Daniel -MSFT-

[testperson 1.729]

Hi,

 

evtl. per Group Policy Preferences die Option für das lokale Built-In Adminkonto setzen?

 

Gruß

Jan

[mm53 0]

Hallo,

 

erstmal Danke für die Antwort. Aber es handelt sich hierbei nicht um AD-Konten sondern um das lokale BUILTIN-Adminkonto.

Funktionieren die DS-Tools auch bei lokalen Konten??

 

Wie schon erwähnt, soll das Ganze per SCCM, bei Bedarf gesteuert werden. Soll heißen: keine Policies, sondern gezielt per Script.

 

Gruß

mm53

[Sunny61 811]

erstmal Danke für die Antwort. Aber es handelt sich hierbei nicht um AD-Konten sondern um das lokale BUILTIN-Adminkonto.

Mit Hilfe der Group Policy Preferences kannst Du Lokale Konten bearbeiten!

[mm53 0]

Danke für Eure Antworten.

 

Aber ich brauch eine Lösung, die per Script und SCCM funktioniert. GPO und CO... nutzt mir hier nichts.

Sollte dennoch jemand eine clevere Lösung parat haben, wäre ich sehr dankbar.

 

Gruß

mm53 

[Sunny61 811]

Aktivieren und PW setzen:

Visual Basic-Quellcode

    set WshShell = WScript.CreateObject("WScript.Shell")
    'Das Admin Konto aktivieren
    WshShell.Run "net.exe user ""Administrator"" /active:yes", 7 , True
    'Das Admin Password setzen.
    WshShell.Run "net.exe user ""Administrator"" ""Password""", 7 , True

Das ist ein simples VB-Script, AFAIK kann der SCCM so etwas auf dem Client ausführen.

 

Was genau hast Du denn bisher schon alles?

[Daniel -MSFT- 129]

Dann nimm das net user-Kommando. Folgende Schalter wären vermutlich von Interesse: /logonpasswordchg:{yes | no}

[mm53 0]

Hallo zusammen,

 

nochmals Danke für die Antworten. Hab's jetzt folgendermaßen gelöst.

 

$LocalAdmin = Get-WMIObject Win32_UserAccount -filter "LocalAccount=True AND SID like '%-500'"

$strComputer = $env:computername

$Password = "Pa$$w0rd"

 

$admin = [adsi]("WinNT://" + $strComputer + "/$($LocalAdmin.Name), user")

$admin.psbase.invoke("SetPassword", $Password)

$LocalAdmin.Disabled = $False

$LocalAdmin.Put()

$admin.PasswordExpired = -1

$admin.SetInfo()

 

Gruß

mm53