anulu1
Nov 09, 2021
view1895
view5
0
Goto Top

Dienstuser auf allen Servern herausfinden Tool oder Script

GermansolvedQuestionWindows NetworkMicrosoft
Hallo,

ich muß das Domänenadministratorpaßwort ändern. Da es sein kann , dass vom Vorgänger der Orginaladministrator als Dienstuser eingesetzt wurde muß ich kontrollieren ob das zutrifft. Im Netzwerk laufen aber über 30 Server. Daher würde ich ungern jeden Server manuell prüfen. Wir haben als Softwareverteilung Baramundi im Einsatz. Gibt es mit diesem Tool eine Lösung zu prüfen oder hat jemand ein Script oder anderes Tool für mich?
Gruß,
Chris
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 1487465388

Url: https://administrator.de/contentid/1487465388

Printed on: April 18, 2024 at 23:04 o'clock

5 Comments
Latest comment
Goto Top
Member: Dani
Dani Nov 09, 2021 at 16:04:51 (UTC)
Goto Top
Moin Chris,
einfaches Beispiel:
https://www.wedelit.no/blog/2017/01/04/wedel-it-service-account-usage/
http://www.cjwdev.com/Software/ServiceCredMan/Info.html


Gruß,
Dani
Mitglied: 149569
Solution 149569 Nov 09, 2021 updated at 16:09:14 (UTC)
Goto Top
Einzeiler ...
Get-ADComputer -Filter {OperatingSystem -like '*Server*'} | %{gcim win32_service -ComputerName $_.DNSHostName | ?{$_.StartName -eq "$env:USERDOMAIN\Administrator" } | select PSComputername,Name,StartName}
Member: DerWoWusste
DerWoWusste Nov 09, 2021 at 19:03:01 (UTC)
Goto Top
30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.

Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.
Member: erikro
Solution erikro Nov 09, 2021 updated at 21:49:58 (UTC)
Goto Top
Moin,

Zitat von @149569:

Einzeiler ...
> Get-ADComputer -Filter {OperatingSystem -like '*Server*'} | %{gcim win32_service -ComputerName $_.DNSHostName | ?{$_.StartName -eq "$env:USERDOMAIN\Administrator" } | select PSComputername,Name,StartName}  
>

Oder für Prozesse, die keine Dienste sind:
get-process | %{write-output $_.Name;((get-process -id $_.id).startinfo.environment)["Username"] }

hth

Erik

Edit: ein wenig eleganter die Zeile. face-wink
Member: Anulu1
Anulu1 Nov 18, 2021 at 14:29:10 (UTC)
Goto Top
Zitat von @DerWoWusste:

30 Server? Das ist ja schon ein mittelgroßer Betrieb.
Es ist sehr ernst zu nehmen, wenn in einem Betrieb dieser Größe Domänenadmins arbeiten, die unbewusst solche Risiken einführen - das würde ich nicht leicht nehmen. Im Handstreich macht jemand die ganze Domäne platt, wenn er nur einen angreifbaren Dienst vorfindet, der als Domadmin läuft.

Ich würde einen geplanten Task verteilen, der ein Skript lokal laufen lässt und die Funde in eine Logdatei auf einem Fileserver schreibt - dann braucht man keine offenen Ports für Remoting.

Vollkommen richtig , dass man das nicht so lassen kann. Es gibt viele Baustellen...der Betrieb wurde vor meiner Zeit von externen Dienstleistern administriert. Die sind bereits gekündigt...
GermansolvedQuestionWindows NetworkMicrosoft
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 CommentDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment