Domain Administrator deaktivieren oder aktiviert lassen?

[daabm 1.354]

Ja, krbtgt war eines unserer Audit-Findings. Haben wir bisher auch vernachlässigt... Bzgl. -500 ist glaub alles gesagt

[Weingeist 159]

Und wenn man dann die Links die alle ins Leere führen irgendwie weiterverfolgt, landet man irgendwann beim eigentlich Autor der das ganze mittlerweile ziemlich weiterentwickelt hat. Inklusive Log etc.

https://github.com/zjorz/Public-AD-Scripts/blob/master/Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1

 

Ist ein Monster-Script für einfach "nur" Passwort ändern

Aber scheint sehr viele Umgebungsvarianten abzudecken und enthält auch viel Auswertung und Testfunktionen.

[daabm 1.354]

vor 6 Stunden schrieb Weingeist:

scheint sehr viele Umgebungsvarianten abzudecken und enthält auch viel Auswertung und Testfunktionen.

 

Das muß auch so sein. Wenn beim 1. Change was schiefgeht, hast noch den Fallback auf n-1. Wenn Du das nicht merkst und weitermachst, ist Kerberos kaputt

Und grundsätzlich mag ich solche Skripts, die erst mal 250 Zeilen Doku und Hilfe enthalten. Ohne Ironie, ich mag das wirklich!

 

Dazu ist es auch noch technisch sehr gut umgesetzt. Er vermeidet z.B. Test-NetConnection oder Test-Connection, nimmt statt dessen [Net.Sockets.TcpClient]. Und auch da hat er noch das letzte rausgeholt mit BeginConnect() und AsyncWaitHandle.WaitOne() 👍 Schade, daß er die Abhängigkeit zu den Modulen ActiveDirectory und GroupPolicy hat, sonst wär's sogar self contained.

[Weingeist 159]

vor 20 Stunden schrieb daabm:

Und grundsätzlich mag ich solche Skripts, die erst mal 250 Zeilen Doku und Hilfe enthalten. Ohne Ironie, ich mag das wirklich!

Jo, das hilft einem enorm zu verstehen was, es überhaupt macht wenn sich einer die Mühe nimmt. Je nach Quelle muss man dann nicht alles selber durchanalysieren.. =)