2k3 AD - Probleme mit Computerkontokennwörtern per Kommandozeile überprüfen

[Gadget 37]

Hi,

 

wie ihr sicherlich wisst gibt es für Computerkonten im Active Directory Passwörter für diese Konten, dass so genannte Computerkontokennwort.

 

Diese Passwörter dienen der gesicherten Verbindung der Workstation zum Domänencontroller. Man kann dieses Feature per Lokalen Richtlinie deaktivieren, dies ist aber aus Sicherheitsgründen nicht empfehlenswert:

 

http://www.microsoft.com/technet/pr...7c40abbf8b.mspx

Zitat:

Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren

 

Legt fest, ob ein Domänenmitglied das Kennwort für sein Computerkonto regelmäßig ändert. Wurde diese Einstellung aktiviert, versucht das Domänenmitglied nicht, das Kennwort für sein Computerkonto zu ändern. Wurde diese Einstellung deaktiviert, versucht das Domänenmitglied, das Kennwort für sein Computerkonto gemäß der für Domänenmitglied: Maximalalter von Computerkontenkennwörtern angegebenen Einstellung (standardmäßig alle 30 Tage) zu ändern.

 

Diese Sicherheitseinstellung sollte nicht aktiviert werden. Kennwörter für Computerkonten werden zur Herstellung von sicheren Kommunikationskanälen zwischen Mitgliedscomputern und Domänencontrollern und (innerhalb der Domäne) unter Domänencontrollern verwendet. Sobald dieser sichere Kanal hergestellt wurde, wird er für die Übertragung vertraulicher Informationen verwendet. Diese Informationen sind notwendig, um Authentifizierungs- und Autorisierungsentscheidungen zu treffen.

 

 

Vorgehensweise von Windows NT bei unkorrekten Benutzer-/Computerkonto-Kennwörtern

http://support.microsoft.com/?kbid=200900

 

Wenn das Kennwort zwischen dem Konto im AD u. dem lokal gespeicherten der Workstation nicht übereinstimmt wird die Anmeldung verweigert, daher ist es ab und an beim Troubleshooting nötig diese Kennwortreplikation zu kontrollieren, dies funktioniert am besten mittels dsquery.

 

C:\>dsquery computer -stalepwd 30
"CN=PC1,OU=Test,DC=nwtraders,DC=msft"

 

Der Wert 30 gibt hier die Tage an seit wann keine Erneuerung des Computerkontokennworts stattgefunden hat. (Typischerweise treten solche Probleme beim Einsatz einer so genannten Wächter o. Reborncard auf.)

 

LG Gadget

[blub 115]

hi,

das ist ein cooles Kommando!! Wir haben immer wieder Ärger mit abgelaufenen Computerkonten. Habs bisher nur immer reaktiv anhand von Eventlogs auf den DCs (Error 5722) behandelt.

Rücksetzen des pwds übrigens mit:

 

NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

 

cu

blub

[Joe 10]

NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

Verstehe ich das richtig, dass ich damit an einer Workstation mit abgelaufenem Computerkonto das selbige zurücksetzen kann?

 

Hat eigentlich schon jemand Erfahrungen damit, ob mit dem u.g. Registry-Schlüssel das Ändern des Passworts auch bei Windows XP Workstations deaktiviert werden kann?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange

 

Gruss

 

Jochen

[Jian 10]

@Joe

 

mit Netdom kann man ein Kennwort eines DC zurrücksetzen.

Für einen PC nutzt man den Befehl dsmod.

Beispiel: dsmod computer <DN des Computers> -reset

 

 

Servus

 

Jian

[Gadget 37]

Moin Jochen,

 

jo der Deaktivierung geht auch bei XP über den Key:

 

http://support.microsoft.com/kb/175468/en-us

Key = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

Value = DisablePasswordChange REG_DWORD 1

 

Wobei es unter XP u. 2k3 auch mittels Gruppenrichtlinie verändert werden kann:

 

http://support.microsoft.com/kb/175468/en-us#XSLTH4138121123120121120120

• Domain Member: Disable machine account password changes (DisablePasswordChange)

• Domain Member: Maximum machine account password age (MaximumPasswordAge)

• Domain Controller: Refuse machine account password changes (RefusePasswordChange)

 

LG Gadget

[Joe 10]

@Joe

 

mit Netdom kann man ein Kennwort eines DC zurrücksetzen.

Für einen PC nutzt man den Befehl dsmod.

Beispiel: dsmod computer <DN des Computers> -reset

 

 

Servus

 

Jian

Shit, im Moment habe ich genau das Problem: altes Image wiederhergestellt und dann die übliche Fehlermeldung an einem Windows 2000-Rechner. Wie muss ich die DN angeben? Wenn ich

dsmod computer userwkst.domain.local -reset

aufrufe, dann bekomme ich die Meldung "Target object for this command" hat ein falsches Format.

 

userwkst ist der Computername

domain der Domänenname

local der Domänenzusatz

 

Kann mir da einer kurzfristig weiterhelfen? Danke.

 

Joe

[Joe 10]

Ok, ich hab jetzt mittels dsquery die DN herausbekommen und den Befehl am Win2k3-Server aufgerufen. Muss ich jetzt den Windows 2000 Client neu der Domäne hinzufügen?

 

Joe

 

/Nachtrag: Geht das nicht irgendwie per Kommandozeile? Evtl. direkt vom Server aus?

[gysinma1 13]

Hallo Zusammen

 

Ja wenn das Image ein gewisses Alter überschreitet.

 

Mit netdom join .... (siehe netdom help join) kann vom client aus gejoined werden. Remote joining geht zwar (beispielsweise übern Logonscript), aber es ist IMMER client aktiv d.h. remote nicht durchführbar.

 

Gruss,

 

Matthias