Lokale User Passworte im AD - Best Practice
Hallo!
Seit Jahren wird bei mir über eine GPO das lokale Admin-Passwort an jedem Rechner beim Eintritt in das AD geändert. Da dieses Passwort ja scheinbar im AD auslesbar war, hat Microsoft diese Möglichkeit mit Hinweis auf "CPassword" ja entfernt in MS14-025.
Zur eigentlichen Frage:
Was ist die Alternative?
Wie löst ihr das?
Was ich bisher gefunden, aber nicht getestet habe:
- Powershell Skripte - Hier kann wohl ein Passwort erst verschlüsselt und dann gesetzt werden.
- LAPS - setzt für jeden Client ein eigenes Passwort und hinterlegt dieses im Klartext im AD. Für mich klingt das gefährlich, wenn irgendwann einmal das Recht "All extended rights" aus Versehen auf eine OU gesetzt bzw nicht entfernt wird, kann das Passwort gelesen werden. Beim Entfernen aus dem AD muss man unbedingt daran denken, das Passwort zuvor auszulesen, sonst sitzt man in der Sackgasse...
Danke und Grüße
Phil
Seit Jahren wird bei mir über eine GPO das lokale Admin-Passwort an jedem Rechner beim Eintritt in das AD geändert. Da dieses Passwort ja scheinbar im AD auslesbar war, hat Microsoft diese Möglichkeit mit Hinweis auf "CPassword" ja entfernt in MS14-025.
Zur eigentlichen Frage:
Was ist die Alternative?
Wie löst ihr das?
Was ich bisher gefunden, aber nicht getestet habe:
- Powershell Skripte - Hier kann wohl ein Passwort erst verschlüsselt und dann gesetzt werden.
- LAPS - setzt für jeden Client ein eigenes Passwort und hinterlegt dieses im Klartext im AD. Für mich klingt das gefährlich, wenn irgendwann einmal das Recht "All extended rights" aus Versehen auf eine OU gesetzt bzw nicht entfernt wird, kann das Passwort gelesen werden. Beim Entfernen aus dem AD muss man unbedingt daran denken, das Passwort zuvor auszulesen, sonst sitzt man in der Sackgasse...
Danke und Grüße
Phil
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 340978
Url: https://administrator.de/forum/lokale-user-passworte-im-ad-best-practice-340978.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
9 Kommentare
Neuester Kommentar
Hi,
E.
Seit Jahren wird bei mir über eine GPO das lokale Admin-Passwort an jedem Rechner beim Eintritt in das AD geändert. Da dieses Passwort ja scheinbar im AD auslesbar war, hat Microsoft diese Möglichkeit mit Hinweis auf "CPassword" ja entfernt in MS14-025.
Du sprichst von Passwort via GPO/GPP setzen. Ja, das ist out. Allerdings stand das Passwort hier nicht im AD sondern im SYSVOL.- LAPS - setzt für jeden Client ein eigenes Passwort und hinterlegt dieses im Klartext im AD. Für mich klingt das gefährlich, wenn irgendwann einmal das Recht "All extended rights" aus Versehen auf eine OU gesetzt bzw nicht entfernt wird, kann das Passwort gelesen werden.
LAPS ist eine gute Wahl. Lies einfach die Doku dazu. Wenn man sich daran hält, dann ist da nichts gefährliches.Beim Entfernen aus dem AD muss man unbedingt daran denken, das Passwort zuvor auszulesen, sonst sitzt man in der Sackgasse...
Das Computer-Objekt wird beim Domänen-Austritt nur deaktiviert, nicht gelöscht.E.
Hi.
Schau Dir meinen Artikel an: Sicherer Umgang mit Supportkonten - das ist meiner Meinung nach viel vernünftiger als LAPS.
Noch ein Hinweis zu "Da dieses Passwort ja scheinbar im AD auslesbar war, hat Microsoft diese Möglichkeit mit Hinweis auf "CPassword" ja entfernt in MS14-025." - MS hat die Möglichkeit entfernt, neue GPOs mit eingebautem Kennwort zu erstellen - die Möglichkeit, aus den alten GPOs Kennwörter auszulesen, besteht jedoch weiter, man muss diese GPOs also unbedingt löschen.
Schau Dir meinen Artikel an: Sicherer Umgang mit Supportkonten - das ist meiner Meinung nach viel vernünftiger als LAPS.
Noch ein Hinweis zu "Da dieses Passwort ja scheinbar im AD auslesbar war, hat Microsoft diese Möglichkeit mit Hinweis auf "CPassword" ja entfernt in MS14-025." - MS hat die Möglichkeit entfernt, neue GPOs mit eingebautem Kennwort zu erstellen - die Möglichkeit, aus den alten GPOs Kennwörter auszulesen, besteht jedoch weiter, man muss diese GPOs also unbedingt löschen.
Ich würde auf den lokalen Zugang verzichten. Wenn benötigt, kann man immer noch die üblichen Tricks zum Zurücksetzen nutzen.
Aber gut:
Ein Startskript kann auch random-Kennwörter setzen.
In Batch:
Dies legt ein Konto Notfalladmin an, schreibt das 8-Stellige Zufallskennwort in eine Datei auf dem Server und packt es in die Admingruppe. Die Freigabe auf dem Server sollte für Computerkonten write-only sein und lesbar nur für Admins.
Du kannst natürlich auch ein Powershell-Startskript dafür nehmen und den Powershell-Kennwortgenerator aus meinem Artikel, falls 8 Zeichen nicht ausreichen.
Aber gut:
Ein Startskript kann auch random-Kennwörter setzen.
In Batch:
net user /add Notfalladmin /random>\\server\share\%computername%.txt & net localgroup Administratoren /add notfalladmin
Du kannst natürlich auch ein Powershell-Startskript dafür nehmen und den Powershell-Kennwortgenerator aus meinem Artikel, falls 8 Zeichen nicht ausreichen.