21
AD User Passwörter vergleichen
Muss User mit gleichem Passwort im AD finden
Hi,
ich habe nochmal ein kleines Problem. Ich muss herausfinden, welche unserer AD User ein und dasselbe Passwort benutzen. Einige benutzen da ein Standard-Passwort und das ist natürlich ein Sicherheitsproblem. Diese User muss ich also ausfindig machen um die Sicherheitslücke zu schließen. Bei knapp 400 Usern jeden mal einzeln durch zu probieren, ist etwas schwierig. Ich weiß, dass der Hashwert unter einem bestimmten Attribut gespeichert wird, man dieses aber nicht sehen kann, auch nicht als Admin. Aber irgendwie muss man das ja ansprechen können?!
Hat jemand ne Idee? Ich bin für jeden Vorschlag dankbar!
Grüße
SoullessInk
Hi,
ich habe nochmal ein kleines Problem. Ich muss herausfinden, welche unserer AD User ein und dasselbe Passwort benutzen. Einige benutzen da ein Standard-Passwort und das ist natürlich ein Sicherheitsproblem. Diese User muss ich also ausfindig machen um die Sicherheitslücke zu schließen. Bei knapp 400 Usern jeden mal einzeln durch zu probieren, ist etwas schwierig. Ich weiß, dass der Hashwert unter einem bestimmten Attribut gespeichert wird, man dieses aber nicht sehen kann, auch nicht als Admin. Aber irgendwie muss man das ja ansprechen können?!
Hat jemand ne Idee? Ich bin für jeden Vorschlag dankbar!
Grüße
SoullessInk
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 163322
Url: https://administrator.de/contentid/163322
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
21 Kommentare
Neuester Kommentar
Hi,
stell doch einfach ein das alle User das Kennwort bei der nächsten Anmeldung ändern müssen und verbiete das alte Passwort.
Schöne Grüße
stell doch einfach ein das alle User das Kennwort bei der nächsten Anmeldung ändern müssen und verbiete das alte Passwort.
Schöne Grüße
Besagtes Feld mit dem Passwort-Hash ist ein Write Only-Feld, sprich du kannst schreiben, aber nicht lesen. Hat den Grund, dass selbst ein Hash nicht sicher ist. Die einzige Möglichkeit wäre wirklich, die Passwortrichtlinien anzupassen.
Hier bekommt jeder Benutzer zur Erstanmeldung ein zufälliges Passwort, welches dann bei der ersten Anmeldung direkt geändert werden muss. Desweiteren muss es eine gewisse Komplexität haben (die MS Komplexitätsrichtlinien halt), es benötigt eine Mindestlänge, darf nur für 90 oder 180 Tage genutzt werden (müsste ich nachschauen) und es darf nicht wiederverwendet werden (Passwortchronik 12 Passwörter)
Hier bekommt jeder Benutzer zur Erstanmeldung ein zufälliges Passwort, welches dann bei der ersten Anmeldung direkt geändert werden muss. Desweiteren muss es eine gewisse Komplexität haben (die MS Komplexitätsrichtlinien halt), es benötigt eine Mindestlänge, darf nur für 90 oder 180 Tage genutzt werden (müsste ich nachschauen) und es darf nicht wiederverwendet werden (Passwortchronik 12 Passwörter)
Moin SoullessInk,
wie tikayevent schon geschrieben hat - wenn die Benutzer "keine Standardpassworte" (was immer das sein soll) verwenden sollen, dann kannst du das über die Kennwortrichtlinien festlegen.
Und musst es IMHO als halbwegs seriöser Hilfs-AD-Admin auch.
Wenn du/ihr das bisher verratzt habt, dann verplempere keine Zeit mit "gucken, wer als Passwort '12345' verwendet".
Wozu denn? Willst du diese User dann einzeln in der Kantine ansprechen?
Grüße
Biber
wie tikayevent schon geschrieben hat - wenn die Benutzer "keine Standardpassworte" (was immer das sein soll) verwenden sollen, dann kannst du das über die Kennwortrichtlinien festlegen.
Und musst es IMHO als halbwegs seriöser Hilfs-AD-Admin auch.
Wenn du/ihr das bisher verratzt habt, dann verplempere keine Zeit mit "gucken, wer als Passwort '12345' verwendet".
Wozu denn? Willst du diese User dann einzeln in der Kantine ansprechen?
Grüße
Biber
danke für die schnellen Antworten.
@ Bathomy: Das wäre auch eine Idee, aber bei der Anzahl der User eher ungünstig. wenn ich jetzt für alle 400 User einstelle, dass Sie ihr Passwort ändern müssen, kriege ich wenigstens 360 anrufe, warum Sie auf einmal ihr Passwort ändert müssen und mit wahrscheinlich weiteren Beschwerden.
Das Problem ist, wenn ein User "eingerichtet" wird, bekommt er genau jenes Standard Passwort, z.B. "Passw0rd", was ja auch den Anforderungen entspricht. Wie würde sich das jetzt verhalten, wenn ich genau dieses Passwort verbiete? Aktuell muss ich mich, bevor der User seinen acc bekommt auch wenigstens einmal mit dem User anmelden, um einige Einstellungen vorzunehmen, wie z.B. das Outlook. Daher kann ich nicht sofort den Haken setzen, dass er das Passwort bei nächster Anmeldung ändern muss, sondern erst, wenn ich mich einmal angemeldet habe. Wie würde das mit dem zufälligen Passwort gehen?
Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben.
@ Bathomy: Das wäre auch eine Idee, aber bei der Anzahl der User eher ungünstig. wenn ich jetzt für alle 400 User einstelle, dass Sie ihr Passwort ändern müssen, kriege ich wenigstens 360 anrufe, warum Sie auf einmal ihr Passwort ändert müssen und mit wahrscheinlich weiteren Beschwerden.
Das Problem ist, wenn ein User "eingerichtet" wird, bekommt er genau jenes Standard Passwort, z.B. "Passw0rd", was ja auch den Anforderungen entspricht. Wie würde sich das jetzt verhalten, wenn ich genau dieses Passwort verbiete? Aktuell muss ich mich, bevor der User seinen acc bekommt auch wenigstens einmal mit dem User anmelden, um einige Einstellungen vorzunehmen, wie z.B. das Outlook. Daher kann ich nicht sofort den Haken setzen, dass er das Passwort bei nächster Anmeldung ändern muss, sondern erst, wenn ich mich einmal angemeldet habe. Wie würde das mit dem zufälligen Passwort gehen?
Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben.
Wir haben den Usern einen längeren Zeitraum eingeräumt, damit sie nicht alle 3 Monate ihr Passwort ändern müssen, denn sonst würde die größere Sicherheitslücke auftreten und zwar, dass sie sich das Passwort aufschreiben. face-smile
Kann ich nicht bestätigen. Jeder Mitarbeiter unterschreibt, dass er sein Passwort nicht weitergeben darf, worunter auch das aufschreiben zählt und da gibt´s hier einen kurzen Prozess. Wenn ich hier mal durch die Büros gehe und sowas sehe, wird einfach das Passwort geändert. Und zwar so lange, bis die es kapieren. Als ich das letzte mal hier durchgelaufen bin, gabs kein einziges aufgeschriebenes Passwort.
Outlook müssen hier alle selbst einstellen, dafür gibt´s ne Anleitung. Bis auf zwei Querschläger letztes Jahr, die eh schon so zu doof sind, zu überleben, klappt das wunderbar.
Hallo,
bei 400 User gibt es vermutlich eine AD und da kannst du per GPO veranlassen das das Password geändert werden muss.
Mindestens 8 Zeichen, keine Wörter aus einem Wörterbuch, Groß und Klein Schreibung als Muss und mindestens ein Sonderzeichen.
Als Grundlage dafür gibt es hoffentlich eine Nutzungsrichtline für EDV und Kommunikationsmittel!
brammer
bei 400 User gibt es vermutlich eine AD und da kannst du per GPO veranlassen das das Password geändert werden muss.
Mindestens 8 Zeichen, keine Wörter aus einem Wörterbuch, Groß und Klein Schreibung als Muss und mindestens ein Sonderzeichen.
Als Grundlage dafür gibt es hoffentlich eine Nutzungsrichtline für EDV und Kommunikationsmittel!
brammer
Hi,
kannst ja vorher eine E-Mail raus schicken und alle informieren ;)
Schöne Grüße
kannst ja vorher eine E-Mail raus schicken und alle informieren ;)
Schöne Grüße
Moin SoullessInk,
unsere neuen oder vergeßlichen Benutzer bekommen bei uns auch einen "Standard"Kennwort. Nur benutzen wir bei der Anlage / Rücksetzung auch die Einstellung "Kennwort muß bei der ersten Anmeldung geändert werden".
So können wir bei Massenanlagen bzw. Umstellungen erkennen, wer das Kennwort nicht geändert (z. B. Urlaub / Krankheit) und deaktivieren das Konto.
Alles Revisionsvorgaben ebenso die Änderung des Kennwortes alle 30 Tage.
Grüße
Markus
unsere neuen oder vergeßlichen Benutzer bekommen bei uns auch einen "Standard"Kennwort. Nur benutzen wir bei der Anlage / Rücksetzung auch die Einstellung "Kennwort muß bei der ersten Anmeldung geändert werden".
So können wir bei Massenanlagen bzw. Umstellungen erkennen, wer das Kennwort nicht geändert (z. B. Urlaub / Krankheit) und deaktivieren das Konto.
Alles Revisionsvorgaben ebenso die Änderung des Kennwortes alle 30 Tage.
Grüße
Markus
... und wenn dann noch per "Kennwortchronik erzwingen" verhindert wird, dass gleich wieder das selbe Passwort (oder eines der x vorher verwendeten Passwörter) gesetzt wird, sollte sich das Thema erledigt haben ...
Grüße
bastla
Grüße
bastla
Moin,
lg,
Slainte
kannst ja vorher eine E-Mail raus schicken und alle informieren ;)
Besser. eine Email von der GL/GF/Vorstand raussenden lassen - das beschwert sich dann bei dir hinterher auch keiner .)lg,
Slainte
Anmerkung: Du kannst mit Bordmitteln keine bestimmten Kennwörter verbieten.
Hi,
man kann doch im AD das alte Passwort verbieten oder täusche ich mich jetzt da? oO
Schöne Grüße
man kann doch im AD das alte Passwort verbieten oder täusche ich mich jetzt da? oO
Schöne Grüße
Kann man nicht. Er besitzt noch keine Kennwortchronik. Hätte er bereits eine, dann ließe sich das letzte Kennwort natürlich erst wieder nach x Kennwortintervallen nutzen.
Moin Junxs und Mädelz...
Farühm zo Gomblifiziert? - dann doch lieber ungetestet ins Blaue rein....
edit
- jo tokens 1-3 und dann nur %%a nutzen issse scheibenkäse - aber der gefundene Bock heisst immer noch nix dass ich mache test von dem da, weil isch nix habbe Tomaähn auf Eipäd
/edit
Gruß
Farühm zo Gomblifiziert? - dann doch lieber ungetestet ins Blaue rein....
for /f "tokens=1-3" %%a in ('net user /domain') do (
title %%a
net use b: \\server\freigabe Passw0rd /user:domain\%%a && echo %%a ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d
title %%b
net use b: \\server\freigabe Passw0rd /user:domain\%%b && echo %%b ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d
title %%c
net use b: \\server\freigabe Passw0rd /user:domain\%%c && echo %%c ist ein passwordmuffel>>laufwerk:\pfad\datei & net use b:\ /d
)edit
- jo tokens 1-3 und dann nur %%a nutzen issse scheibenkäse - aber der gefundene Bock heisst immer noch nix dass ich mache test von dem da, weil isch nix habbe Tomaähn auf Eipäd
/edit
Gruß
Warum machen es eigentlich alle so kompliziert?
Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.
Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.
moin Dog,
Gruß
Zitat von @dog:
Warum machen es eigentlich alle so kompliziert?
Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem
Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.
Warum machen es eigentlich alle so kompliziert?
Wenn es ein Standardpasswort ist, dann ist es bekannt.
Es reicht also ein einfaches VBS/PHP-Skript, das einmal als Admin alle AD-User ausliest und sich danach reiheum versucht mit dem
Standardpasswort an LDAP zu binden.
Da wo es klappt liegt noch das Standardpasswort vor.
- hüstel - lösch mal deinen Browsercache - und schau mal eine paar Zeilen höher
Gruß
@dww
Oben behauptet der TO, er würde sich vorweg einmal anmelden - deswegen auch schon mein Hinweis auf die Kennwortchronik - außerdem geht es ja offensichtlich darum, dass das "Startpasswort" von den Usern beibehalten wird, sodass das Erzwingen der Passwortänderung bei ersten Logon ja auch schon für den "Grundstein" der Chronik genügen sollte ...
Grüße
bastla
Oben behauptet der TO, er würde sich vorweg einmal anmelden - deswegen auch schon mein Hinweis auf die Kennwortchronik - außerdem geht es ja offensichtlich darum, dass das "Startpasswort" von den Usern beibehalten wird, sodass das Erzwingen der Passwortänderung bei ersten Logon ja auch schon für den "Grundstein" der Chronik genügen sollte ...
Grüße
bastla
Das schiebe ich jetzt auf die miese UMTS-Verbindung im ICE. Da laden die Seiten immer so lange 
Danke, eine ähnliche Idee hatte ich auch gehabt, aber das hatte mir dann den endgültigen Stoß in die richtige Richtung gegeben. Ich hab's mit Powershell gemacht, war sogar relativ simpel. Die User, die ich damit identifizieren konnte, wurden direkt zum Passwortwechsel gezwungen.
Moin,
wir sind ja immer gerne bereit zu geben - nehmen aber auch (für andere zukünftige Leser) Lösungen an, die genauso funktionieren.
(am liebsten zwischen <code> und </code>)
Gruß & Glühstrumpf
wir sind ja immer gerne bereit zu geben - nehmen aber auch (für andere zukünftige Leser) Lösungen an, die genauso funktionieren.
(am liebsten zwischen <code> und </code>)
rem hier könnte deine Lösung stehenGruß & Glühstrumpf
Ja, sowas habe ich mir schon gedacht, nur zu meiner Schande muss ich gestehen, dass ich das Skript grad nicht zur Hand habe, sonst hätte ich das auch direkt mit dazu getragen, sorry, hätte ich vielleicht direkt erwähnen sollen, ich bring das ganze mal soweit wie ichs noch im Kopf habe:
Damit würde ich nun den LDAP Server, den Username und das Passwort festlegen.
Damit würde ich den Zugriff anhand der vorher vergebenen Daten gestalten, stimmt das Passwort und der Username, bekomme ich einen Pfad ausgegeben, bei falschem Passwort kommt auch entsprechende Meldung. Gefordert war, das ganze ja zu automatisieren, also brauche ich für das bisherige Konstrukt eine Abfrage der User und eine Schleife, die die abgefragten Benutzer automatisch einsetzt. Ich habe dafür das AD Modul benutzt
Der letzte Befehl wird nicht funzen, habe damit selber probiert, läuft nicht. Ich komme aber auch einfach nicht mehr drauf, wie ich das gemacht habe. Aber das war mein Ansatz, vielleicht ist ja ein findiger unter uns, der das mal komplettiert, bevor ich das Skript wieder gefunden habe.
$ldapRoot =[string]"LDAPServer"
$user = [string]"User"
$userPassword = [string]"Passwort" New-Object System.DirectoryServices.DirectoryEntry($ldaproot,$user,$userPassword)(Get-ADuser -Filter { Objectclass -eq "user" } | % { $_.SamAccountName }) | % { New-Object System.DirectoryServices.DirectoryEntry($ldaproot,$_,$userPassword) } 
