lww1999 0 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Hallo, bin Azubi bei uns in der IT und bräuchte ein wenig Unterstützung. Leider bin ich noch nicht richtig in der Materie und lese mich gerade ein in PowerShell und Co. Ich soll mithilfe eines PowerShell befehls bzw. einer .bat ein Icon für einen normalen User erstellen der keine weiteren Berechtigungen hat. Diese Datei soll beim ausführen das Benutzerkonto eines anderen Mitarbeiters innerhalb unserer Domäne freischalten. (Da dieser durch dritte immer wieder gesperrt wird). Habt ihr eine kleine Anleitung für mich oder Hilfestellung? Mfg Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Hi, der PowerShell / Batch Befehl wird dir nichts helfen ohne das dem "normalen" User entsprechende Rechte im Active Directory delegiert werden. Die Befehle wären dann vermutlich: https://docs.microsoft.com/en-us/powershell/module/addsadministration/enable-adaccount?view=win10-ps https://docs.microsoft.com/en-us/powershell/module/addsadministration/unlock-adaccount?view=win10-ps Gruß Jan 1 Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Moin, abgesehen davon, dass die Aufgabe so, wie sie formuliert ist, nicht umsetzbar ist - wäre es nicht klüger, die Ursache dafür abzustellen, dass der betreffende Account immer gesperrt wird? Gruß, Nils Zitieren Link zu diesem Kommentar
lww1999 0 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 vor 5 Minuten schrieb NilsK: Moin, abgesehen davon, dass die Aufgabe so, wie sie formuliert ist, nicht umsetzbar ist - wäre es nicht klüger, die Ursache dafür abzustellen, dass der betreffende Account immer gesperrt wird? Gruß, Nils Ja das habe ich mir auch gedacht aber der Vorschlag wurde abgelehnt. Ich kann mir auch nicht erklären wieso. vor 13 Minuten schrieb testperson: Hi, der PowerShell / Batch Befehl wird dir nichts helfen ohne das dem "normalen" User entsprechende Rechte im Active Directory delegiert werden. Die Befehle wären dann vermutlich: https://docs.microsoft.com/en-us/powershell/module/addsadministration/enable-adaccount?view=win10-ps https://docs.microsoft.com/en-us/powershell/module/addsadministration/unlock-adaccount?view=win10-ps Gruß Jan Ja es ist möglich mit SafeCredentials wenn ich mich richtig erinner (bin mir bei dem Namen nicht sicher) Das man die Datei einmal als Admin ausführt und die Datei sich das Passwort merkt. Vielen Dank schon mal für die Links. Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Moin, dann wäre die Gelegenheit günstig, die Frage noch mal zu stellen. Die eigentliche Aufgabe ist nur lösbar, wenn entweder der User, der das ausführt, eben kein normaler User ist, sondern das Recht hat, im AD den User zu entsperren oder man mit einer Infrastruktur dahinter arbeitet, mit der der ausführende "normale" User etwas auslöst, was den gesperrten Account entsperrt, dieser Vorgang aber mit einem separaten, dazu berechtigen Konto läuft Beide Varianten bedeuten erheblichen Aufwand und ebenso erhebliches Risiko. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Dem User also eine Möglichkeit geben hochberechtigte Aufgaben mit gespeicherten credentials auszuführen und dann auch noch ohne den Grund für das eigentliche Problem zu kennen? Finde nur ich das merkwürdig? Zitieren Link zu diesem Kommentar
lww1999 0 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 vor 1 Minute schrieb NorbertFe: Dem User also eine Möglichkeit geben hochberechtigte Aufgaben mit gespeicherten credentials auszuführen und dann auch noch ohne den Grund für das eigentliche Problem zu kennen? Finde nur ich das merkwürdig? Nein, ich finde es ebenfalls Merkwürdig. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Naja, dann hinterfrage doch, warum der Account andauernd gesperrt ist. Ich hatte jetzt an sowas banales wie einen externen "Support Account" gedacht, der vor dem Zugriff eines Externen entsperrt und danach gesperrt wird. Und das soll jetzt an jemanden aus der "Fachabteilung" delegiert werden. :) Zitieren Link zu diesem Kommentar
lww1999 0 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 vor 3 Minuten schrieb testperson: Naja, dann hinterfrage doch, warum der Account andauernd gesperrt ist. Ich hatte jetzt an sowas banales wie einen externen "Support Account" gedacht, der vor dem Zugriff eines Externen entsperrt und danach gesperrt wird. Und das soll jetzt an jemanden aus der "Fachabteilung" delegiert werden. :) Es geht darum, das der Chef möchte das diese Anfrage nicht andauernd zu uns kommt weil es lästig ist . Die Hinterfragung ist meine 2. Aufgabe und herausfinden von welchem Rechner der Acc immer gesperrt wird. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Wäre ja zu einfach mal das logging anzuschauen. Wie häufig kommt das denn vor? Zitieren Link zu diesem Kommentar
lww1999 0 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 vor 2 Minuten schrieb NorbertFe: Wäre ja zu einfach mal das logging anzuschauen. Wie häufig kommt das denn vor? Im Monat bestimmt 10 - 15 Mal. Die anderen Lösung (welche ich auch Vorgeschlagen habe) sind anscheinend zu einfach Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Ich gehe davon aus, dass es sich um ein domänenkonto handelt. Also wäre die erste Frage welche Anzahl von Fehlversuchen löst eigentlich eine kontosperrung aus, und loggt ihr die auch? Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Moin, man könnte sowas überlegen, das wäre meine Variante 2 oben. Es bleibt aber dabei: Sinnvoller ist, das Problem zu lösen statt die Auswirkungen zu beseitigen. [Just Enough Administration: Material von der CDC Germany 2017 | faq-o-matic.net]https://www.faq-o-matic.net/2017/06/12/just-enough-administration-material-von-der-cdc-germany-2017/ Gruß, Nils 1 Zitieren Link zu diesem Kommentar
lww1999 0 Geschrieben 5. Februar 2019 Autor Melden Teilen Geschrieben 5. Februar 2019 vor 32 Minuten schrieb NorbertFe: Ich gehe davon aus, dass es sich um ein domänenkonto handelt. Also wäre die erste Frage welche Anzahl von Fehlversuchen löst eigentlich eine kontosperrung aus, und loggt ihr die auch? Ja meines Wissens nach werden sie geloggt und es erfolgt eine Sperrung nach 3 Versuchen. Meine Idee war falls es nicht anders geht einfach 50 Versuche einzutragen im AD denn im falle eines Angriffs würde das trotz allerdem reichen das Konto zu schützen. Richtig ist ein Domänenkonto. Zitieren Link zu diesem Kommentar
NorbertFe 2.061 Geschrieben 5. Februar 2019 Melden Teilen Geschrieben 5. Februar 2019 Naja vielleicht nicht 50 aber deutlich mehr als 10. damit kann man schonmal problemlos die versehentlichen versuche ausschließen. Wenn du zu hoch ansetzt ohne aktives Monitoring, kann es die dagegen passieren, dass du gar nichts mehr mitbekommst vom „hacking“. Insofern logging überprüfen und schauen wer und von wo die Sperrungen kommen. 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.