5
Dienstuser auf allen Servern herausfinden Tool oder Script
Hallo,
ich muß das Domänenadministratorpaßwort ändern. Da es sein kann , dass vom Vorgänger der Orginaladministrator als Dienstuser eingesetzt wurde muß ich kontrollieren ob das zutrifft. Im Netzwerk laufen aber über 30 Server. Daher würde ich ungern jeden Server manuell prüfen. Wir haben als Softwareverteilung Baramundi im Einsatz. Gibt es mit diesem Tool eine Lösung zu prüfen oder hat jemand ein Script oder anderes Tool für mich?
Gruß,
Chris
ich muß das Domänenadministratorpaßwort ändern. Da es sein kann , dass vom Vorgänger der Orginaladministrator als Dienstuser eingesetzt wurde muß ich kontrollieren ob das zutrifft. Im Netzwerk laufen aber über 30 Server. Daher würde ich ungern jeden Server manuell prüfen. Wir haben als Softwareverteilung Baramundi im Einsatz. Gibt es mit diesem Tool eine Lösung zu prüfen oder hat jemand ein Script oder anderes Tool für mich?
Gruß,
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1487465388
Url: https://administrator.de/contentid/1487465388
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
5 Kommentare
Neuester Kommentar
Moin Chris,
einfaches Beispiel:
https://www.wedelit.no/blog/2017/01/04/wedel-it-service-account-usage/
http://www.cjwdev.com/Software/ServiceCredMan/Info.html
Gruß,
Dani
einfaches Beispiel:
https://www.wedelit.no/blog/2017/01/04/wedel-it-service-account-usage/
http://www.cjwdev.com/Software/ServiceCredMan/Info.html
Gruß,
Dani
Einzeiler ...
Get-ADComputer -Filter {OperatingSystem -like '*Server*'} | %{gcim win32_service -ComputerName $_.DNSHostName | ?{$_.StartName -eq "$env:USERDOMAIN\Administrator" } | select PSComputername,Name,StartName} 
30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.
Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.
Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.
Moin,
Oder für Prozesse, die keine Dienste sind:
hth
Erik
Edit: ein wenig eleganter die Zeile.
Zitat von @149569:
Einzeiler ...
Einzeiler ...
> Get-ADComputer -Filter {OperatingSystem -like '*Server*'} | %{gcim win32_service -ComputerName $_.DNSHostName | ?{$_.StartName -eq "$env:USERDOMAIN\Administrator" } | select PSComputername,Name,StartName}
> Oder für Prozesse, die keine Dienste sind:
get-process | %{write-output $_.Name;((get-process -id $_.id).startinfo.environment)["Username"] } hth
Erik
Edit: ein wenig eleganter die Zeile.
Zitat von @DerWoWusste:
30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.
Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.
30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.
Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.
Vollkommen richtig , dass man das nicht so lassen kann. Es gibt viele Baustellen...der Betrieb wurde vor meiner Zeit von externen Dienstleistern administriert. Die sind bereits gekündigt...
