Passwort für lokalen Admin zentralseitig ändern
Hallo,
wir haben Rechner in einer Win 2008 R2 Domäne hängen.
Alle Rechner haben das Standart Admin Konto deaktiviert und einen lokalen Adminuser verpasst bekommen, der an jedem Rechner gleich heißt.
Nennen wir ihn mal als beispiel: "admwsk"
Ist es möglich, dass Passwort zentralseitig über ein Script zu ändern?
Beispiel:
o Alle 30 Tage sollen die lokalen Adminzugänge geändert werden.
Sobald sich der Rechner einloggt, soll dieser nachschauen, ob es für ihn ein Neues Adminkonto gibt und dieses ggf. ändern.
Es ist möglich, dass nicht alle Clients am Änderungstag eingeloggt sind/waren.
Clients sind Win XP und Win 7 jeweils in der pro Version.
wir haben Rechner in einer Win 2008 R2 Domäne hängen.
Alle Rechner haben das Standart Admin Konto deaktiviert und einen lokalen Adminuser verpasst bekommen, der an jedem Rechner gleich heißt.
Nennen wir ihn mal als beispiel: "admwsk"
Ist es möglich, dass Passwort zentralseitig über ein Script zu ändern?
Beispiel:
o Alle 30 Tage sollen die lokalen Adminzugänge geändert werden.
Sobald sich der Rechner einloggt, soll dieser nachschauen, ob es für ihn ein Neues Adminkonto gibt und dieses ggf. ändern.
Es ist möglich, dass nicht alle Clients am Änderungstag eingeloggt sind/waren.
Clients sind Win XP und Win 7 jeweils in der pro Version.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 157579
Url: https://administrator.de/forum/passwort-fuer-lokalen-admin-zentralseitig-aendern-157579.html
Ausgedruckt am: 07.04.2025 um 09:04 Uhr
8 Kommentare
Neuester Kommentar
Hi D46505Pl,
in eurem Fall sollte das über GPO's möglich sein. Nachteil du müsstest jeden Monat das PW beim Benutzer "x" manuell ändern.
Wir haben dazu ein kl. Tool (C#) geschrieben, dass beim Hochfahren über eine GPO, Computerstartscript aufgerufen wird. Das Tool an sich generiert an Hand bestimmter Werte ein Tagespasswort. Wir sagen Tagespasswort, da es sich jeden Tag ändert!
Auf Anfrage können wir dann anderen Abteilungen für den jeweiligen Computer herausrücken. Da es unter Computereinstellungen aufgerufen wird, wird das Tool mit Adminrechten ausgeführt und somit kann es Passwörter ändern.
Grüße,
Dani
in eurem Fall sollte das über GPO's möglich sein. Nachteil du müsstest jeden Monat das PW beim Benutzer "x" manuell ändern.
Wir haben dazu ein kl. Tool (C#) geschrieben, dass beim Hochfahren über eine GPO, Computerstartscript aufgerufen wird. Das Tool an sich generiert an Hand bestimmter Werte ein Tagespasswort. Wir sagen Tagespasswort, da es sich jeden Tag ändert!
Auf Anfrage können wir dann anderen Abteilungen für den jeweiligen Computer herausrücken. Da es unter Computereinstellungen aufgerufen wird, wird das Tool mit Adminrechten ausgeführt und somit kann es Passwörter ändern.
Grüße,
Dani
zu 1) Richtig
zu 2) Richtig, wir haben die Funktionen aus Sicherheitsgründen in 2 Tools verpackt. Tool 1 wird auf den Clients ausgeführt und ändert nur das Passwort. Der Benutzer sieht davon nichts und kann das Tool beliebig oft ausführen. Er kann damit nichts anfangen. Das andere Tool hat unser Support-Team bzw. wir und nach Eingabe des Computernamens wird das Passwort angezeigt.
Grüße,
Dani
zu 2) Richtig, wir haben die Funktionen aus Sicherheitsgründen in 2 Tools verpackt. Tool 1 wird auf den Clients ausgeführt und ändert nur das Passwort. Der Benutzer sieht davon nichts und kann das Tool beliebig oft ausführen. Er kann damit nichts anfangen. Das andere Tool hat unser Support-Team bzw. wir und nach Eingabe des Computernamens wird das Passwort angezeigt.
Grüße,
Dani
Tag
Wir hatten bei <EDIT> bei meinem alten Arbeitsgeber </EDIT> so gelöst, dass einmal pro Monat ein Task auf jedem Client gelaufen ist, der einen Zufallswert generiert hat, diesen als Passwort für den lokalen Admin gesetzt hat und den Wert ausserdem noch in eine DB geschrieben hat. So wurde das PW einmal im Monat geändert und die Admins konnten in der DB jeweils nachsehen, welches Passwort für welche Kiste gerade aktuell war. Ich weiss nicht mehr, wie der Task auf den Maschinen gesetzt war, ich glaube aber per GPO. War ganz praktisch...
Wir hatten bei <EDIT> bei meinem alten Arbeitsgeber </EDIT> so gelöst, dass einmal pro Monat ein Task auf jedem Client gelaufen ist, der einen Zufallswert generiert hat, diesen als Passwort für den lokalen Admin gesetzt hat und den Wert ausserdem noch in eine DB geschrieben hat. So wurde das PW einmal im Monat geändert und die Admins konnten in der DB jeweils nachsehen, welches Passwort für welche Kiste gerade aktuell war. Ich weiss nicht mehr, wie der Task auf den Maschinen gesetzt war, ich glaube aber per GPO. War ganz praktisch...
Zitat von @TuXHunt3R:
Tag
Wir hatten bei der xxxxxxx so gelöst, dass einmal pro Monat ein Task auf jedem Client gelaufen ist, der einen Zufallswert
generiert hat, diesen als Passwort für den lokalen Admin gesetzt hat und den Wert ausserdem noch in eine DB geschrieben hat.
So wurde das PW einmal im Monat geändert und die Admins konnten in der DB jeweils nachsehen, welches Passwort für welche
Kiste gerade aktuell war. Ich weiss nicht mehr, wie der Task auf den Maschinen gesetzt war, ich glaube aber per GPO. War ganz
praktisch...
Tag
Wir hatten bei der xxxxxxx so gelöst, dass einmal pro Monat ein Task auf jedem Client gelaufen ist, der einen Zufallswert
generiert hat, diesen als Passwort für den lokalen Admin gesetzt hat und den Wert ausserdem noch in eine DB geschrieben hat.
So wurde das PW einmal im Monat geändert und die Admins konnten in der DB jeweils nachsehen, welches Passwort für welche
Kiste gerade aktuell war. Ich weiss nicht mehr, wie der Task auf den Maschinen gesetzt war, ich glaube aber per GPO. War ganz
praktisch...
Moin,
diese angesprochene Verfahrensweise ist seit so - lass mich lachen - seit 7 Jahren dort nicht mehr aktuell - und damals lief das nicht per GPO *anmerk*
Gruß
24