Computerkennwörter

[Peterzz 11]

Hallo,

kann mir jemand sagen, wie ich sehen kann, wann eine Computerkonto das letzte mal sein Kennwort in der Domäne (Betriebsmodus 2012R2) geändert hat?

 

Gruß

Peter

[Nobbyaushb 1.484]

Computer?

User haben Passworte...

https://www.oxfordsbsguy.com/2013/11/25/powershell-get-aduser-to-retrieve-password-last-set-and-expiry-information/

 

[Alith Anar 40]

Oder in der Active Directory Benutzer und Computer Oberfläche die erweiterten Features einschalten.
Dann kannst du in den Benutzereigenschaften den Reiter ADSIEditor aufrufen und siehst dann dort pwLastSet.

bearbeitet 18. November 2020 von Alith Anar

[NilsK 2.968]

Moin,

 

Natürlich haben Computer im AD auch Kennwörter. Wie sollen sie sich sonst an der Domäne anmelden?

 

Technisch betrachtet sind Computer im AD auch User. Die Attribute dafür sind also dieselben. pwdLastSet in dem Fall.

 

Wozu brauchst du die Informationen?

 

Grosse comme un nounours

 

 

[testperson 1.728]

Hi,

 

kurz und schmerzlos:

Get-ADComputer -Filter * -Properties Name, pwdLastSet | Select-Object Name, @{Name ="pwdLastSet";Expression={[datetime]::FromFileTime($_.pwdLastSet)}} | Sort-Object pwdLastSet

 

Gruß

Jan

 

P.S.: Ist da irgendeine Form der Autokorrektur in die Hose gegangen oder verstehe ich den Zusammenhang mit dem Teddybär nicht?

vor 20 Minuten schrieb NilsK:

Grosse comme un nounours

 

[Peterzz 11]

11 minutes ago, NilsK said:

Wozu brauchst du die Informationen?

Bei einem Bekannten (ich helfe dort in der IT aus, 2*DC, 1* Exchange, 1*SQL, 1*Dateiserver) ist eine Richtlinie gesetzt, das keine Computerkennwörter in der Domäne geändert werden. Das ist natürlich höchst unsicher und ich will jetzt mal nachsehen, ob die Kennwörter wirklich abgelaufen sind. 

Wenn dem so ist, kann ich dann die Richtlinie einfach ändern und die Computerkonten (es sind wohl alle Memberserver) erneuern ihr Passwort?  

 

Ich habe jetzt auch ein schönes Tool gefunden, welches mir Infos zu den Kennwörtern anzeigt.

 

Gruß

Peter

 

 

[NilsK 2.968]

Moin,

 

Auch wenn es um Kennwörter geht und Computer logisch User sind - ein nicht geändertes Kennwort ist bei Computern längst nicht so problematisch wie bei Benutzern. Einem Computer kann man nicht über die Schulter sehen, wenn er ein Kennwort eingibt. Und wir reden nicht von Strings wie "papa2020".

 

Es gibt einen guten alten Artikel darüber von einem deutschen Microsoft-Mitarbeiter, den suche ich später noch mal raus.

 

Gruß, Nils

[NorbertFe 2.089]

vor 55 Minuten schrieb Peterzz:

Das ist natürlich höchst unsicher und ich will jetzt mal nachsehen, ob die Kennwörter wirklich abgelaufen sind. 

Echt? Warum ist es das, ich denke das "höchst" ist hier weniger angebracht? Wie Nils schon sagte, reden wir hier nicht über 8 stellige Kennworte. Und wie sollen sie denn abgelaufen sein, wenn sie nicht geändert werden? ;) Natürlich sind sie dann nicht abgelaufen. Abgesehen davon ändert ein Computer per Default alle 30 Tage sein Kennwort und wenn der Computer länger als 30 Tage in der Domain steckt... naja kannst du dir also "sparen".

 

[NilsK 2.968]

Moin,

 

hier noch der Link - übrigens ist der Artikel von einem ehemaligen Boardmember:

[Wann läuft ein Maschinenaccount / Computerkonto ab? Gar nicht! | Microsoft Docs]
https://docs.microsoft.com/de-de/archive/blogs/deds/wann-luft-ein-maschinenaccount-computerkonto-ab-gar-nicht
 

vor 4 Stunden schrieb testperson:

P.S.: Ist da irgendeine Form der Autokorrektur in die Hose gegangen oder verstehe ich den Zusammenhang mit dem Teddybär nicht?

Kann man so sagen. Ich hab den Beitrag am Handy geschrieben bzw. genauer: diktiert. Und das, was Android da anstelle meiner Grußformel fabriziert hat, fand ich so putzig, dass ich es habe stehen lassen.

 

Gruß, Nils

(sprich: Gruß Komma Nils ...)

[daabm 1.366]

...und für das Ändern von Computerkennwörtern (und auch das des krbtgt) gilt grundsätzlich das gleiche wie für alle anderen Kennwörter: If it's not compromised, there's no need to change it.

[NorbertFe 2.089]

Ja, wobei man im Gegensatz zu nutzerkennworten ja nie wissen würde wenn es kompromittiert wurde. ;) und der Prozess es zu ändern ist im allgemeinen unkritisch.