13
Monatlicher Passwortwechsel
Ich administriere Rechner in 5 verscheidenen Domains. Alle 30 Tage muss das Password meines Admin-Accounts geändert werden, wobei ich weder DomainAdmin, noch EnterpriseAdmin bin. Mein Admin-Account wird bloss auf jenen Rechnern über eine globale Gruppe auf jenen Servern in die LocalAdmins eingetragen, welche ich zu betreuen habe.
Da ich Domainübergreifend per Script Daten verteilen muss, ist mein Password natürlich auch auf diversen im “Windows Credential Manager” für etliche Shares hinterlegt.
Ich bin auf der Suche, wie ich den Passwordwechsel so automatisieren kann, dass dies mit vernünftigem Aufwand zu realisieren ist. Am liebsten wäre es mir, wenn ich von meinem Admin-Client aus alle Domainpasswörter auf einmal ändern könnte und auf den betroffenen Rechnern ebenfalls die “Windows Credential Manager” entsprechend geändert würden. Ich nehme an, dass es dafür keine Lösung gibt; aber mir wäre schon geholfen, wenn im “Windows Credential Manager” alle Einträge mit <Domain>\<User> mit dem geänderten Password aktualisiert würden.
Ich nehme an, dass ich nicht der Einzige bin, welcher auf der Suche nach einer Lösung ist.
Wenn jemand weiss, wie mein Anliegen umzusetzen ist, dann wäre ich sehr dankbar und hätte wieder mehr Zeit zum Administrieren, statt Passwörter zu wechseln.
Besten Dank für alle Tipps.
Da ich Domainübergreifend per Script Daten verteilen muss, ist mein Password natürlich auch auf diversen im “Windows Credential Manager” für etliche Shares hinterlegt.
Ich bin auf der Suche, wie ich den Passwordwechsel so automatisieren kann, dass dies mit vernünftigem Aufwand zu realisieren ist. Am liebsten wäre es mir, wenn ich von meinem Admin-Client aus alle Domainpasswörter auf einmal ändern könnte und auf den betroffenen Rechnern ebenfalls die “Windows Credential Manager” entsprechend geändert würden. Ich nehme an, dass es dafür keine Lösung gibt; aber mir wäre schon geholfen, wenn im “Windows Credential Manager” alle Einträge mit <Domain>\<User> mit dem geänderten Password aktualisiert würden.
Ich nehme an, dass ich nicht der Einzige bin, welcher auf der Suche nach einer Lösung ist.
Wenn jemand weiss, wie mein Anliegen umzusetzen ist, dann wäre ich sehr dankbar und hätte wieder mehr Zeit zum Administrieren, statt Passwörter zu wechseln.
Besten Dank für alle Tipps.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 195996
Url: https://administrator.de/contentid/195996
Ausgedruckt am: 26.11.2024 um 01:11 Uhr
13 Kommentare
Neuester Kommentar
Auf die Schnelle würde ich sagen: Lass dich zum DomainAdmin machen! Wenn die Server sowieso alle in einer Domain sind, macht es für mich nicht so viel Sinn einen Admin in die lokale Admingruppe aufzunehmen.
Hoi,
die Credentials für Shares bzw. das mappen von benötigten Netzlaufwerken lassen sich mit GPOs speichern/verbinden.
Aber da hast du wohl keinen Zugriff drauf.
Viele Grüße
Xearo
die Credentials für Shares bzw. das mappen von benötigten Netzlaufwerken lassen sich mit GPOs speichern/verbinden.
Aber da hast du wohl keinen Zugriff drauf.
Viele Grüße
Xearo
Hallo Tobi.
Besten Dank für Deine Antwort.
Ich arbeite in 5 verschiedenen Domains (LABOR, SYST, INTG, DMZ und PROD).
Sicher wäre es das Einfachste, wenn ich DomainAdmin wäre, wäre da nicht unsere interne Revision, welche keine DomainAdmins mehr duldet, ausser für die beiden AD-Verantwortlichen. Wegen denen musste ich den DomainAdmin abgeben - Vorher hatte ich diese Knochenarbeit ja nicht...
(Als AV-Verantwortlicher bin ich dafür nun nahezu auf allen Rechnern in den LocalAdmins)
Besten Dank für Deine Antwort.
Ich arbeite in 5 verschiedenen Domains (LABOR, SYST, INTG, DMZ und PROD).
Sicher wäre es das Einfachste, wenn ich DomainAdmin wäre, wäre da nicht unsere interne Revision, welche keine DomainAdmins mehr duldet, ausser für die beiden AD-Verantwortlichen. Wegen denen musste ich den DomainAdmin abgeben - Vorher hatte ich diese Knochenarbeit ja nicht...
(Als AV-Verantwortlicher bin ich dafür nun nahezu auf allen Rechnern in den LocalAdmins)
Hallo Lord.
Richtig, da habe ich auch keinen Zugriff
Richtig, da habe ich auch keinen Zugriff
Moin.
Ich verstehe noch nicht, was das Problem ist.
Du hast verschiedene (sich vertrauende?) Domänen und ein Domänenkonto, das auf vielen PCs in der lokalen Admingruppe ist. Änderst Du das Kennwort, so kannst Du damit doch überall handeln - wo liegt das Problem? Auch beim Verteilen von Dateien brauchst Du doch nicht die lokalen Credential-Manager, wenn Du eh Admin auf den Maschinen bist.
Erklär das bitte eindeutiger, Du siehst, dass ich nicht begriffen habe, worum es geht.
Nebenbei: Du hast keine verwendeten Betriebssysteme genannt, hol das noch nach.
Ich verstehe noch nicht, was das Problem ist.
Du hast verschiedene (sich vertrauende?) Domänen und ein Domänenkonto, das auf vielen PCs in der lokalen Admingruppe ist. Änderst Du das Kennwort, so kannst Du damit doch überall handeln - wo liegt das Problem? Auch beim Verteilen von Dateien brauchst Du doch nicht die lokalen Credential-Manager, wenn Du eh Admin auf den Maschinen bist.
Erklär das bitte eindeutiger, Du siehst, dass ich nicht begriffen habe, worum es geht.
Nebenbei: Du hast keine verwendeten Betriebssysteme genannt, hol das noch nach.
Hi Wissender.
Nein, die Domains sind isoliert (macht ja keinen Sinn, zwischen Labor, ..., Prod Trusts einzurichten). Ich habe also 5 Domainusers, welche auf vielen Servern und allen Clients in der lokalen Admingruppe (über globale Gruppen) eingetragen sind.
Wenn aus der Domain1 Dateien auf zig Server in der Domain2 kopieren muss, dann mape ich die Laufwerke mit "/PERSISTENT:YES". Das heisst, dass ich zig Einträge im "Windows Credential Manager" (Anmeldeinformationsverwaltung oder Windows-Tresor) mit Domain2\User habe. Wenn ich in der Domain2 das Password ändern muss, dann habe ich zig falsch Passwörter im "Windows Credential Manager". Wenn ich da mein Kopierscript starte, dann ist mein Account nach dem 3. Server gelocked und ich darf beim AD-Admin nachfragen, ob er so gütig wäre, den Hacken bei "locked out" wieder zu entfernen.
Momentan muss ich im "Windows Credential Manager" jeden einzelnen Eintrag anklicken, auf "Bearbeiten" drücken, das neue Kennwort eintippen und danach auf Speichern drücken. Das jeden Monat für eine Liste mit gut 200 Einträgen (da sind ja auch noch die TERMSRV-Einträge)... Und das möglichst, ohne zu vertippen.
...Manuell kann man das ja machen, also müsste es irgendwie eine API geben, über welche man dies automatisieren könnte? Das alte Passwort müsste ich dabei ja nicht einmal kennen.
Ich bin sicher, dass ich nicht der Einzige auf diesem Planeten bin, der diesen Task automatisieren möchte. Das Programm/Script/Powershell/... müsste jeden Eintrag lesen und wenn unter Username steht Domain1\User, das Password anpassen. Mir scheint das jedenfalls nicht sooo unmöglich zu sein.
Im Einsatz stehen (Windows XP, Windows Server 2003,) Windows Server 2008 32/64 Bit, Windows Server 2008 R2, Windows 7 32/64 Bit.
Nein, die Domains sind isoliert (macht ja keinen Sinn, zwischen Labor, ..., Prod Trusts einzurichten). Ich habe also 5 Domainusers, welche auf vielen Servern und allen Clients in der lokalen Admingruppe (über globale Gruppen) eingetragen sind.
Wenn aus der Domain1 Dateien auf zig Server in der Domain2 kopieren muss, dann mape ich die Laufwerke mit "/PERSISTENT:YES". Das heisst, dass ich zig Einträge im "Windows Credential Manager" (Anmeldeinformationsverwaltung oder Windows-Tresor) mit Domain2\User habe. Wenn ich in der Domain2 das Password ändern muss, dann habe ich zig falsch Passwörter im "Windows Credential Manager". Wenn ich da mein Kopierscript starte, dann ist mein Account nach dem 3. Server gelocked und ich darf beim AD-Admin nachfragen, ob er so gütig wäre, den Hacken bei "locked out" wieder zu entfernen.
Momentan muss ich im "Windows Credential Manager" jeden einzelnen Eintrag anklicken, auf "Bearbeiten" drücken, das neue Kennwort eintippen und danach auf Speichern drücken. Das jeden Monat für eine Liste mit gut 200 Einträgen (da sind ja auch noch die TERMSRV-Einträge)... Und das möglichst, ohne zu vertippen.
...Manuell kann man das ja machen, also müsste es irgendwie eine API geben, über welche man dies automatisieren könnte? Das alte Passwort müsste ich dabei ja nicht einmal kennen.
Ich bin sicher, dass ich nicht der Einzige auf diesem Planeten bin, der diesen Task automatisieren möchte. Das Programm/Script/Powershell/... müsste jeden Eintrag lesen und wenn unter Username steht Domain1\User, das Password anpassen. Mir scheint das jedenfalls nicht sooo unmöglich zu sein.
Im Einsatz stehen (Windows XP, Windows Server 2003,) Windows Server 2008 32/64 Bit, Windows Server 2008 R2, Windows 7 32/64 Bit.
Ok, schon klarer 
Der Credentialmanager ist bei mir auch voll mit TERMSRV\...-Einträgen - MEINE Erfahrung: ändere ich das Kennwort bei einem, wird es bei allen anderen für dieses Konto automatisch angepasst! Wir verwenden hier Vista als Client. Teste es bitte mit TERMSRV und danach mit den Freigaben und schau, ob es bei Dir auf Vista geht oder nicht und ob es einen Unterschied zwischen TERMSRV und den Freigaben gibt.
Der Credentialmanager ist bei mir auch voll mit TERMSRV\...-Einträgen - MEINE Erfahrung: ändere ich das Kennwort bei einem, wird es bei allen anderen für dieses Konto automatisch angepasst! Wir verwenden hier Vista als Client. Teste es bitte mit TERMSRV und danach mit den Freigaben und schau, ob es bei Dir auf Vista geht oder nicht und ob es einen Unterschied zwischen TERMSRV und den Freigaben gibt.
Hi Wissender.
Ich habe probehalber für je einen Eintrag das Password im Windows-Tresor geändert:
Windows-Anmeldeinformation: Wurde nicht vererbt (der geänderte meldet "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.", die ungeänderten funktionieren weiter.
TERMSRV reagiert ähnlich
(von meinem Win 7 Client aus getestet)
Ich habe probehalber für je einen Eintrag das Password im Windows-Tresor geändert:
Windows-Anmeldeinformation: Wurde nicht vererbt (der geänderte meldet "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort.", die ungeänderten funktionieren weiter.
TERMSRV reagiert ähnlich
(von meinem Win 7 Client aus getestet)
Du machst auch nicht das selbe. Du änderst ja auf ein falsches Kennwort (sonst würden die anderen wohl kaum noch funktionieren).
Korrektur: Was ich gemacht habe, war etwas anders, ich habe nicht über den Passwortmanager, sondern schlicht über erneute Einspeicherung des Kennwortes in die RDP-Verbindung erreicht, dass das neue Kennwort für alle RDP-Verbindungen, die zuvor gespeichert waren und mit diesem Konto liefen, verwendet wurde - aber das lost Dein Problem ja ebenso. Denke mal, dass es für Freigaben gleich ist, geh also testhalber einfach nicht über den Kennwortmmanager.
Das mit den TERMSRV schmerzt mich ja nicht so sehr. Wenn ich aber das Kopierscript starte, welches Dateien auf 20 Server der Aussenstellen verteilt, dann erhalte ich bei jedem Server "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort." und nach dem 3. Server ist mein Account gelocked.
Wenn das Kopierscript bei jedem Server nach dem Password fragen würde, dann könnte ich es ja ebensogut manuell machen.
Ich möchte einfach den Passwordwechsel im Windows-Tresor so automatisieren, dass ich nicht jeden einzelnen Eintrag bearbeiten muss, sondern dass alle Einträge mit Domain2\User auf einmal angepasst werden (wenn ich dabei auch gleich die TERMSRV-Passwörter ändern könnte, dann wäre ich auch nicht traurig).
Dass die ganze Sache scriptbar ist, habe ich z.B. unter http://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... gefunden; aber ich will ja nicht die Passwörter auslesen, sondern bestimmte (Domain2\User) Einträge ändern.
Wenn das Kopierscript bei jedem Server nach dem Password fragen würde, dann könnte ich es ja ebensogut manuell machen.
Ich möchte einfach den Passwordwechsel im Windows-Tresor so automatisieren, dass ich nicht jeden einzelnen Eintrag bearbeiten muss, sondern dass alle Einträge mit Domain2\User auf einmal angepasst werden (wenn ich dabei auch gleich die TERMSRV-Passwörter ändern könnte, dann wäre ich auch nicht traurig).
Dass die ganze Sache scriptbar ist, habe ich z.B. unter http://tobivnext.wordpress.com/2012/06/18/powershell-cmdlet-zum-auslese ... gefunden; aber ich will ja nicht die Passwörter auslesen, sondern bestimmte (Domain2\User) Einträge ändern.
Befolg meinen Tipp doch mal.
...ich habe das Kopierscript angeworfen und musste danach den AD-Admin bitten, meinen Account wieder freizugeben.
