anulu1
Goto Top

Dienstuser auf allen Servern herausfinden Tool oder Script

Hallo,

ich muß das Domänenadministratorpaßwort ändern. Da es sein kann , dass vom Vorgänger der Orginaladministrator als Dienstuser eingesetzt wurde muß ich kontrollieren ob das zutrifft. Im Netzwerk laufen aber über 30 Server. Daher würde ich ungern jeden Server manuell prüfen. Wir haben als Softwareverteilung Baramundi im Einsatz. Gibt es mit diesem Tool eine Lösung zu prüfen oder hat jemand ein Script oder anderes Tool für mich?
Gruß,
Chris

Content-ID: 1487465388

Url: https://administrator.de/forum/dienstuser-auf-allen-servern-herausfinden-tool-oder-script-1487465388.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Dani
Dani 09.11.2021 um 17:04:51 Uhr
Goto Top
149569
Lösung 149569 09.11.2021 aktualisiert um 17:09:14 Uhr
Goto Top
Einzeiler ...
Get-ADComputer -Filter {OperatingSystem -like '*Server*'} | %{gcim win32_service -ComputerName $_.DNSHostName | ?{$_.StartName -eq "$env:USERDOMAIN\Administrator" } | select PSComputername,Name,StartName}  
DerWoWusste
DerWoWusste 09.11.2021 um 20:03:01 Uhr
Goto Top
30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.

Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.
erikro
Lösung erikro 09.11.2021 aktualisiert um 22:49:58 Uhr
Goto Top
Moin,

Zitat von @149569:

Einzeiler ...
> Get-ADComputer -Filter {OperatingSystem -like '*Server*'} | %{gcim win32_service -ComputerName $_.DNSHostName | ?{$_.StartName -eq "$env:USERDOMAIN\Administrator" } | select PSComputername,Name,StartName}  
> 

Oder für Prozesse, die keine Dienste sind:
get-process | %{write-output $_.Name;((get-process -id $_.id).startinfo.environment)["Username"] }  

hth

Erik

Edit: ein wenig eleganter die Zeile. face-wink
Anulu1
Anulu1 18.11.2021 um 15:29:10 Uhr
Goto Top
Zitat von @DerWoWusste:

30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.

Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.

Vollkommen richtig , dass man das nicht so lassen kann. Es gibt viele Baustellen...der Betrieb wurde vor meiner Zeit von externen Dienstleistern administriert. Die sind bereits gekündigt...