Quirk18231 0 Geschrieben Donnerstag um 19:16 Melden Teilen Geschrieben Donnerstag um 19:16 Hi, ich würde gerne bei allen aktiven AD Usern das Passwort verlängern. Wie kann ich die Schleifen machen - er gibt mir folgende Fehlermeldung zurück Danke! Q Skriptversuch: $Username = (get-aduser -ldapfilter "(&(&(objectCategory=user)(userAccountControl=512)))" | where-object -property enabled -eq truepowershell-ad-infos-01) $User = Get-ADUser $Username -Properties pwdlastset $User.pwdlastset = 0 Set-ADUser -Instance $User $User.pwdlastset = -1 Set-ADUser -Instance $User Fehlermeldung: Get-ADUser : "System.Object[]" kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADUser" konvertiert werden, der für den Parameter "Identity" erforderlich ist. Die angegebene Methode wird nicht unterstützt. In Zeile:2 Zeichen:20 + $User = Get-ADUser $Username -Properties pwdlastset + ~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Get-ADUser], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgument,Microsoft.ActiveDirectory.Management.Commands.GetADUser Die Eigenschaft "pwdlastset" wurde für dieses Objekt nicht gefunden. Vergewissern Sie sich, dass die Eigenschaft vorhanden ist und festgelegt werden kann. In Zeile:3 Zeichen:1 + $User.pwdlastset = 0 + ~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [], RuntimeException + FullyQualifiedErrorId : PropertyNotFound Set-ADUser : Das Argument für den Parameter "Instance" kann nicht überprüft werden. Das Argument ist NULL. Geben Sie einen gültigen Wert für das Argument an, und führen Sie den Befehl erneut aus. In Zeile:4 Zeichen:22 + Set-ADUser -Instance $User + ~~~~~ + CategoryInfo : InvalidData: (:) [Set-ADUser], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.ActiveDirectory.Management.Commands.SetADUser Die Eigenschaft "pwdlastset" wurde für dieses Objekt nicht gefunden. Vergewissern Sie sich, dass die Eigenschaft vorhanden ist und festgelegt werden kann. In Zeile:5 Zeichen:1 + $User.pwdlastset = -1 + ~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [], RuntimeException + FullyQualifiedErrorId : PropertyNotFound Set-ADUser : Das Argument für den Parameter "Instance" kann nicht überprüft werden. Das Argument ist NULL. Geben Sie einen gültigen Wert für das Argument an, und führen Sie den Befehl erneut aus. In Zeile:6 Zeichen:22 + Set-ADUser -Instance $User + ~~~~~ + CategoryInfo : InvalidData: (:) [Set-ADUser], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.ActiveDirectory.Management.Commands.SetADUser Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben Donnerstag um 20:38 Melden Teilen Geschrieben Donnerstag um 20:38 (bearbeitet) Das wirst du nur über „User muss Kennwort bei nächster Anmeldung ändern“ aktivieren = Passwort ist 0h alt und wieder deaktivieren regeln können. Geht sicher auch per Skript, aber afaik nicht mit dem Attribut, welches du da oben nutzt. achso: Code bitte auch so formatieren. Liest sich besser. Grad mal nachgeschaut: Set-Aduser -ChangePasswordAtLogon $true und danach nochmal auf $false bye norbert bearbeitet Donnerstag um 20:52 von NorbertFe Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben Donnerstag um 21:30 Autor Melden Teilen Geschrieben Donnerstag um 21:30 (bearbeitet) Hi Nob, das nimmt aber auch die Option "Kennwort läuft nie ab" raus, oder? Diese soll bei den Konto mit diesen Einstellungen aber erhalten bleiben. Danke Q bearbeitet Donnerstag um 21:32 von Quirk18231 Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben Donnerstag um 21:32 Melden Teilen Geschrieben Donnerstag um 21:32 (bearbeitet) Musst du sie halt hinterher wieder setzen. Ist doch kein Problem. wobei ich mich grad frage, willst du das Kennwort verlängern oder die Laufzeit? Falls letzteres, warum ist dann „Passwort läuft nur ab“ gesetzt? bearbeitet Donnerstag um 21:34 von NorbertFe Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben Donnerstag um 22:04 Autor Melden Teilen Geschrieben Donnerstag um 22:04 (bearbeitet) wo ich gerade so mit dir rum philosophiere, kann ich nicht einfach auch die Tage zum Passwort ändern hochsetzen? Das hat doch den selben Effekt, oder? Aktuell laufen über die Feiertage die Passwörter aus, das würden wir gerne vermeiden, da a nicht alle User da sind und b auch nicht alle in der "Lage" sind dies ohne Hilfestellung zu ändern Danke für den Nachtsupport! bearbeitet Donnerstag um 22:07 von Quirk18231 Zitieren Link zu diesem Kommentar
NorbertFe 2.063 Geschrieben Donnerstag um 22:22 Melden Teilen Geschrieben Donnerstag um 22:22 vor 17 Minuten schrieb Quirk18231: Tage zum Passwort ändern hochsetzen? Du meinst das maximale Kennwortalter? Ja kann man auch tun. Da ja niemand weiß, was du vorhast… Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben Freitag um 07:22 Melden Teilen Geschrieben Freitag um 07:22 Moin, vielleicht auch einfach darüber nachdenken, die Kennwort nicht mehr regelmäßig ablaufen bzw. ändern zu lassen. Der Artikel ist jetzt auch fast schon fünf Jahre alt: Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel | heise online Wenn es um Sicherheit geht, wäre eine MFA wohl zu bevorzugen. Möglicherweise zusätzlich auch eine "Überwachung" der Kennwörter mit Tools wie bspw. "Microsoft Entra Password Protection" oder auch "Specops Password Policy" . Gruß Jan 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben Freitag um 10:18 Melden Teilen Geschrieben Freitag um 10:18 (bearbeitet) Wenn Pass-the-Hash in der Umgebung möglich ist, vielleicht lieber nicht darüber nachdenken. Diese Guidance, der sich inzwischen auch NIST angeschlossen hat, scheint nur eine Welt zu kennen, wo ein potentieller Angreifer vor einer Maske sitzt und da Passwörter im Klartext eingibt... Da würde ich sogar mitgehen bearbeitet Freitag um 10:18 von cj_berlin Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben Freitag um 10:38 Melden Teilen Geschrieben Freitag um 10:38 Evtl. etwas zu vereinfacht: Bei PtH gibt es einen Man in the Middle und die Kommunikation ist unverschlüsselt und/oder unsigniert oder der Angreifer ist bereits auf einem Device authentifiziert und sammelten die lokal liegenden Hashes, die es im Idealfall nicht gibt. Oder bin ich hier zu blauäugig / unwissend / realitätsfern? Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben Freitag um 10:50 Melden Teilen Geschrieben Freitag um 10:50 "die es im Idealfall nicht gibt" ist das Stichwort. Ein Securty-Konzept, das von dem Idealfall ausgeht, ist nicht sehr nachhaltig Hafnium und Log4j lassen grüßen. Zitieren Link zu diesem Kommentar
testperson 1.708 Geschrieben Freitag um 11:04 Melden Teilen Geschrieben Freitag um 11:04 Dann sind wir aber "fast" an dem Punkt, dass auch der regelmäßige Kennwortwechsel nicht hilft, sofern im "nicht Idealfall" SMB signing nicht erzwungen wird und mDNS / LLMNR, etc. zutrifft. (Was in der Praxis leider immer wieder zu sehen ist. :/ Manchmal bin ich doch froh, Umgebungen zu finden, wo es mehr als die DDP + DDCP gibt. :)) Aber: Verstanden. Danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.