andrew 15 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 (bearbeitet) Hallo zusammen Möglicherweise seit Ihr alle schon Minimum 1x in euer IT-Karriere in der Situation gewesen, wo Ihr für ALLE AD Konten in der Firma oder für eine Firma die Passwörter ändern musstet. Wenn alles Optimal läuft, gibt es für jeden AD User entweder im AD selbst im Feld Beschreibung eine schlauen Hinweis, wo das Konto hinterlegt wurde oder die Information ist im Minimum im Passwort Tool entsprechend dokumentiert. Wenn dem NICHT so ist und man trifft z.B. über 50 System User an, bei welchen man nicht wirklich weiss, auf welchem System diese hinterlegt wurden, Frage: Kann man dies mit PowerShell herausfinden und gibt es schon irgendwo im Netz eine Vorlage? Nette Grüsse André bearbeitet 20. Oktober 2023 von andrew Rechtschreibefehler im Titel Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 (bearbeitet) Ich habe Deine Frage zwar nicht wirklich verstanden, aber ich würde sagen "Auf jeden Fall". ¯\_(ツ)_/¯ Sag doch noch mal genau, was Du im AD suchst? Wenn es um einen erzwungen Passwort-Wechsel geht, brauchst Du ja nur die Property "ChangePasswordAtLogon" auf "$true" setzen und die Andwendenden müssen bei der nächsten Anmeldung ihr Passwort wechseln. bearbeitet 20. Oktober 2023 von BOfH_666 Zitieren Link zu diesem Kommentar
NilsK 2.940 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 Moin, ich weiß nicht, ob es heute noch ohne Anpassung funktioniert, aber vor 15 Jahren (!) hab ich mal was dafür gebaut. Das dürfte die meisten Fälle erwischen. [Dienst- und Task-Konten identifizieren | faq-o-matic.net] https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/ Gruß, Nils Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 Es geht um Serviceuser, die entweder in einem geplanten Task oder bei einem Service (beides kann man per Powershell abfragen) oder sonst irgendwo hinterlegt sind. Für letzteres wird es spannend. Im Nachgang wird es schwirig. Für das nächste mal gibt es Passwort Management Tools, die den Passwort wechsel automatisieren. Zitieren Link zu diesem Kommentar
NorbertFe 2.050 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 vor 1 Minute schrieb Dukel: Für das nächste mal gibt es Passwort Management Tools, die den Passwort wechsel automatisieren. https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/ ;) Da braucht man nicht mal Tools für. Zitieren Link zu diesem Kommentar
BOfH_666 577 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 vor 1 Minute schrieb Dukel: Es geht um Serviceuser, die entweder in einem geplanten Task oder bei einem Service (beides kann man per Powershell abfragen) oder sonst irgendwo hinterlegt sind. Ach, so rum. Da war ich auf der falschen Spur. ¯\_(ツ)_/¯ Zitieren Link zu diesem Kommentar
Dukel 454 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 vor 10 Minuten schrieb NorbertFe: https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/ ;) Da braucht man nicht mal Tools für. Wenn die entsprechenden Applikationen gMSA unterstützen. Diverse Tools können z.B. in Config Dateien bei einerm SQL Verbindung genutzt werden, das wird mit gMSA sicher nicht gehen. Aber, wenn die Anforderungen passen, ist da eine Alternative (bzw. das ist dann das Passwort Management Tool). Zitieren Link zu diesem Kommentar
cj_berlin 1.323 Geschrieben 20. Oktober 2023 Melden Teilen Geschrieben 20. Oktober 2023 vor 2 Stunden schrieb andrew: Wenn dem NICHT so ist und man trifft z.B. über 50 System User an, bei welchen man nicht wirklich weiss, auf welchem System diese hinterlegt wurden, Frage: Kann man dies mit PowerShell herausfinden und gibt es schon irgendwo im Netz eine Vorlage? Moin, je nachdem, wie weit die Audit Logs auf den DCs zurück reichen, könnte man ja die Logon-Events auswerten und nach LogonType 4 (Batch) und 5 (Service) filtern. Ansonsten für Services: Get-WMIObject Win32_Service -Filter "StartName='account@doma.in' OR StartName='DOMAIN\\account'" Für SchTasks: Get-ScheduledTask | Where-Object {$_.Principal.UserID -eq 'account'} Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.