Quirk18231 0 Geschrieben 19. Dezember 2024 Melden Teilen Geschrieben 19. Dezember 2024 Hi, ich würde gerne bei allen aktiven AD Usern das Passwort verlängern. Wie kann ich die Schleifen machen - er gibt mir folgende Fehlermeldung zurück Danke! Q Skriptversuch: $Username = (get-aduser -ldapfilter "(&(&(objectCategory=user)(userAccountControl=512)))" | where-object -property enabled -eq truepowershell-ad-infos-01) $User = Get-ADUser $Username -Properties pwdlastset $User.pwdlastset = 0 Set-ADUser -Instance $User $User.pwdlastset = -1 Set-ADUser -Instance $User Fehlermeldung: Get-ADUser : "System.Object[]" kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADUser" konvertiert werden, der für den Parameter "Identity" erforderlich ist. Die angegebene Methode wird nicht unterstützt. In Zeile:2 Zeichen:20 + $User = Get-ADUser $Username -Properties pwdlastset + ~~~~~~~~~ + CategoryInfo : InvalidArgument: (:) [Get-ADUser], ParameterBindingException + FullyQualifiedErrorId : CannotConvertArgument,Microsoft.ActiveDirectory.Management.Commands.GetADUser Die Eigenschaft "pwdlastset" wurde für dieses Objekt nicht gefunden. Vergewissern Sie sich, dass die Eigenschaft vorhanden ist und festgelegt werden kann. In Zeile:3 Zeichen:1 + $User.pwdlastset = 0 + ~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [], RuntimeException + FullyQualifiedErrorId : PropertyNotFound Set-ADUser : Das Argument für den Parameter "Instance" kann nicht überprüft werden. Das Argument ist NULL. Geben Sie einen gültigen Wert für das Argument an, und führen Sie den Befehl erneut aus. In Zeile:4 Zeichen:22 + Set-ADUser -Instance $User + ~~~~~ + CategoryInfo : InvalidData: (:) [Set-ADUser], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.ActiveDirectory.Management.Commands.SetADUser Die Eigenschaft "pwdlastset" wurde für dieses Objekt nicht gefunden. Vergewissern Sie sich, dass die Eigenschaft vorhanden ist und festgelegt werden kann. In Zeile:5 Zeichen:1 + $User.pwdlastset = -1 + ~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [], RuntimeException + FullyQualifiedErrorId : PropertyNotFound Set-ADUser : Das Argument für den Parameter "Instance" kann nicht überprüft werden. Das Argument ist NULL. Geben Sie einen gültigen Wert für das Argument an, und führen Sie den Befehl erneut aus. In Zeile:6 Zeichen:22 + Set-ADUser -Instance $User + ~~~~~ + CategoryInfo : InvalidData: (:) [Set-ADUser], ParameterBindingValidationException + FullyQualifiedErrorId : ParameterArgumentValidationError,Microsoft.ActiveDirectory.Management.Commands.SetADUser Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 19. Dezember 2024 Melden Teilen Geschrieben 19. Dezember 2024 (bearbeitet) Das wirst du nur über „User muss Kennwort bei nächster Anmeldung ändern“ aktivieren = Passwort ist 0h alt und wieder deaktivieren regeln können. Geht sicher auch per Skript, aber afaik nicht mit dem Attribut, welches du da oben nutzt. achso: Code bitte auch so formatieren. Liest sich besser. Grad mal nachgeschaut: Set-Aduser -ChangePasswordAtLogon $true und danach nochmal auf $false bye norbert bearbeitet 19. Dezember 2024 von NorbertFe Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 19. Dezember 2024 Autor Melden Teilen Geschrieben 19. Dezember 2024 (bearbeitet) Hi Nob, das nimmt aber auch die Option "Kennwort läuft nie ab" raus, oder? Diese soll bei den Konto mit diesen Einstellungen aber erhalten bleiben. Danke Q bearbeitet 19. Dezember 2024 von Quirk18231 Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 19. Dezember 2024 Melden Teilen Geschrieben 19. Dezember 2024 (bearbeitet) Musst du sie halt hinterher wieder setzen. Ist doch kein Problem. wobei ich mich grad frage, willst du das Kennwort verlängern oder die Laufzeit? Falls letzteres, warum ist dann „Passwort läuft nur ab“ gesetzt? bearbeitet 19. Dezember 2024 von NorbertFe Zitieren Link zu diesem Kommentar
Quirk18231 0 Geschrieben 19. Dezember 2024 Autor Melden Teilen Geschrieben 19. Dezember 2024 (bearbeitet) wo ich gerade so mit dir rum philosophiere, kann ich nicht einfach auch die Tage zum Passwort ändern hochsetzen? Das hat doch den selben Effekt, oder? Aktuell laufen über die Feiertage die Passwörter aus, das würden wir gerne vermeiden, da a nicht alle User da sind und b auch nicht alle in der "Lage" sind dies ohne Hilfestellung zu ändern Danke für den Nachtsupport! bearbeitet 19. Dezember 2024 von Quirk18231 Zitieren Link zu diesem Kommentar
NorbertFe 2.085 Geschrieben 19. Dezember 2024 Melden Teilen Geschrieben 19. Dezember 2024 Am 19.12.2024 um 22:04 schrieb Quirk18231: Tage zum Passwort ändern hochsetzen? Mehr Du meinst das maximale Kennwortalter? Ja kann man auch tun. Da ja niemand weiß, was du vorhast… Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 20. Dezember 2024 Melden Teilen Geschrieben 20. Dezember 2024 Moin, vielleicht auch einfach darüber nachdenken, die Kennwort nicht mehr regelmäßig ablaufen bzw. ändern zu lassen. Der Artikel ist jetzt auch fast schon fünf Jahre alt: Passwörter: BSI verabschiedet sich vom präventiven, regelmäßigen Passwort-Wechsel | heise online Wenn es um Sicherheit geht, wäre eine MFA wohl zu bevorzugen. Möglicherweise zusätzlich auch eine "Überwachung" der Kennwörter mit Tools wie bspw. "Microsoft Entra Password Protection" oder auch "Specops Password Policy" . Gruß Jan 1 Zitieren Link zu diesem Kommentar
cj_berlin 1.338 Geschrieben 20. Dezember 2024 Melden Teilen Geschrieben 20. Dezember 2024 (bearbeitet) Wenn Pass-the-Hash in der Umgebung möglich ist, vielleicht lieber nicht darüber nachdenken. Diese Guidance, der sich inzwischen auch NIST angeschlossen hat, scheint nur eine Welt zu kennen, wo ein potentieller Angreifer vor einer Maske sitzt und da Passwörter im Klartext eingibt... Da würde ich sogar mitgehen bearbeitet 20. Dezember 2024 von cj_berlin Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 20. Dezember 2024 Melden Teilen Geschrieben 20. Dezember 2024 Evtl. etwas zu vereinfacht: Bei PtH gibt es einen Man in the Middle und die Kommunikation ist unverschlüsselt und/oder unsigniert oder der Angreifer ist bereits auf einem Device authentifiziert und sammelten die lokal liegenden Hashes, die es im Idealfall nicht gibt. Oder bin ich hier zu blauäugig / unwissend / realitätsfern? Zitieren Link zu diesem Kommentar
cj_berlin 1.338 Geschrieben 20. Dezember 2024 Melden Teilen Geschrieben 20. Dezember 2024 "die es im Idealfall nicht gibt" ist das Stichwort. Ein Securty-Konzept, das von dem Idealfall ausgeht, ist nicht sehr nachhaltig Hafnium und Log4j lassen grüßen. Zitieren Link zu diesem Kommentar
testperson 1.728 Geschrieben 20. Dezember 2024 Melden Teilen Geschrieben 20. Dezember 2024 Dann sind wir aber "fast" an dem Punkt, dass auch der regelmäßige Kennwortwechsel nicht hilft, sofern im "nicht Idealfall" SMB signing nicht erzwungen wird und mDNS / LLMNR, etc. zutrifft. (Was in der Praxis leider immer wieder zu sehen ist. :/ Manchmal bin ich doch froh, Umgebungen zu finden, wo es mehr als die DDP + DDCP gibt. :)) Aber: Verstanden. Danke! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.