15
Powershell "local Admin"
Moin,
ich hab folgendes Problem, ich erstelle mit meinem Skript einen Lokalen Admin auf den Geräten, nur laufen die Passwörter ab, ich hab hier irgendwo einen Fehler, jetzt würde ich auf euer Schwarm-Wissen hoffen.
Grüße
ich hab folgendes Problem, ich erstelle mit meinem Skript einen Lokalen Admin auf den Geräten, nur laufen die Passwörter ab, ich hab hier irgendwo einen Fehler, jetzt würde ich auf euer Schwarm-Wissen hoffen.
$username = "XXXXXXX"
$password = ConvertTo-SecureString "XXXXXXXXXXXX" -AsPlainText -Force
$logFile = "\\XXXXXXX\log\XXX_XXXX.txt"
Function Write-Log {
param(
[Parameter(Mandatory = $true)][string] $message,
[Parameter(Mandatory = $false)]
[ValidateSet("INFO","WARN","ERROR")]
[string] $level = "INFO"
)
$timestamp = (Get-Date).toString("yyyy/MM/dd HH:mm:ss")
Add-Content -Path $logFile -Value "$timestamp [$level] - $message"
}
Function Create-LocalAdmin {
process {
try {
New-LocalUser "$username" -Password $password -FullName "$username" -Description "local admin" -ErrorAction stop
Write-Log -message "$username local user crated"
Add-LocalGroupMember -Group "IT Systemadministratoren" -Member "$username" -ErrorAction stop
Write-Log -message "$username added to the local administrator group"
}catch{
Write-log -message "Creating local account failed" -level "ERROR"
}
}
}
Write-Log -message "#########"
Write-Log -message "$env:COMPUTERNAME - Create local admin account"
Create-LocalAdmin
Write-Log -message "#########" Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5932173021
Url: https://administrator.de/contentid/5932173021
Printed on: May 10, 2024 at 17:05 o'clock
15 Comments
Latest comment
Moin,
gibts einen Grund, dass du das per PS und nicht via GPO machst?
LG
gibts einen Grund, dass du das per PS und nicht via GPO machst?
LG
2
Mir ist hier die PS lieber da ich dies via RMM auch an Geräte verteilen kann welche selten mit dem AD verbunden sind.
LG
LG
nur laufen die Passwörter ab
-PasswordNeverExpires Switch-ParameterNew-LocalUser
würde ich auf euer Schwarm-Wissen hoffen.
Oder am Freitag gleich RTFM in die Tonne kloppen.Wurstl
Zitat von @5175293307:
New-LocalUser
Wurstl
nur laufen die Passwörter ab
-PasswordNeverExpires Switch-ParameterNew-LocalUser
würde ich auf euer Schwarm-Wissen hoffen.
Oder am Freitag gleich RTFM in die Tonne kloppen.Wurstl
na sorry dass ich Frage.... BadDay hm?!
$username = "XXXXX"
$password = ConvertTo-SecureString "XXXXX" -AsPlainText -Force
$logFile = "\\XXXXX\log\XXXXX.txt"
Function Write-Log {
param(
[Parameter(Mandatory = $true)][string] $message,
[Parameter(Mandatory = $false)]
[ValidateSet("INFO","WARN","ERROR")]
[string] $level = "INFO"
)
$timestamp = (Get-Date).toString("yyyy/MM/dd HH:mm:ss")
Add-Content -Path $logFile -Value "$timestamp [$level] - $message"
}
Function Create-LocalAdmin {
process {
try {
New-LocalUser "$username" -Password $password -PasswordNeverExpires -UserMayNotChangePassword -FullName "$username" -Description "local admin" -ErrorAction stop
Write-Log -message "$username local user crated"
Add-LocalGroupMember -Group "IT Systemadministratoren" -Member "$username" -ErrorAction stop
Write-Log -message "$username added to the local administrator group"
}catch{
Write-log -message "Creating local account failed" -level "ERROR"
}
}
}
Write-Log -message "#########"
Write-Log -message "$env:COMPUTERNAME - Create local admin account"
Create-LocalAdmin
Write-Log -message "#########" so schaut nun das Skript aus, Kennwort läuft nicht ab, und kann nicht geändert werden .... soviel zum Thema RTFM
$password = ConvertTo-SecureString "XXXXXXXXXXXX" -AsPlainText -Force
Da kannst du den Usern das Admin-Passwort auch gleich als Zettel an den Monitor pappen 
.Sicherer Umgang mit Supportkonten
1
Zitat von @5175293307:
.
Sicherer Umgang mit Supportkonten
$password = ConvertTo-SecureString "XXXXXXXXXXXX" -AsPlainText -Force
Da kannst du den Usern das Admin-Passwort auch gleich als Zettel an den Monitor pappen .Sicherer Umgang mit Supportkonten
Wie? Das macht man doch so. Das vermindert den Supportaufwand ungemein.
1Zitat von @5175293307:
.
Sicherer Umgang mit Supportkonten
$password = ConvertTo-SecureString "XXXXXXXXXXXX" -AsPlainText -Force
Da kannst du den Usern das Admin-Passwort auch gleich als Zettel an den Monitor pappen .Sicherer Umgang mit Supportkonten
Nö, warum?
Jetz erklär mir mal wie es einem User gelingen soll dieses Kennwort des lokalen Admin auszulesen, btw. ohne Admin rechte sowie kein Zugriff auf die Systemsteuerung, mmc sowie Regedit.
Wäre mir jetzt sehr spannend dies zu erfahren.
Ach und damits nicht zu einfach ist, unsere User haben keine Zugriffe auf irgendwelche Windows System Verzeichnisse.
Nachtrag: Dir ist bewusst dass die "X" nicht das Passwort darstellen oder?
Zitat von @MrHeisenberg:
btw. ohne Admin rechte sowie kein Zugriff auf die Systemsteuerung, mmc sowie Regedit.
Braucht er in dem Fall gar nicht.btw. ohne Admin rechte sowie kein Zugriff auf die Systemsteuerung, mmc sowie Regedit.
Die Details verbieten aber leider die Forenregeln hier.
Nachtrag: Dir ist bewusst dass die "X" nicht das Passwort darstellen oder?
Bei Verwendung von -AsPlaintext ist das zwingend der Fall, ohne ja aber mit nein.
Moin,
Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Unsinn. Wenn die User keinen lesenden Zugriff hätten, könnten sie mit Windows nicht arbeiten.
Liebe Grüße
Erik
Zitat von @MrHeisenberg:
Jetz erklär mir mal wie es einem User gelingen soll dieses Kennwort des lokalen Admin auszulesen, btw. ohne Admin rechte sowie kein Zugriff auf die Systemsteuerung, mmc sowie Regedit.
Wäre mir jetzt sehr spannend dies zu erfahren.
Jetz erklär mir mal wie es einem User gelingen soll dieses Kennwort des lokalen Admin auszulesen, btw. ohne Admin rechte sowie kein Zugriff auf die Systemsteuerung, mmc sowie Regedit.
Wäre mir jetzt sehr spannend dies zu erfahren.
Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Ach und damits nicht zu einfach ist, unsere User haben keine Zugriffe auf irgendwelche Windows System Verzeichnisse.
Unsinn. Wenn die User keinen lesenden Zugriff hätten, könnten sie mit Windows nicht arbeiten.
Liebe Grüße
Erik
1Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Falsch, wie oben bereits erwähnt, wir spielen dieses Skript via RMM raus, also wie sollen die Zugriff haben?
Unsinn. Wenn die User keinen lesenden Zugriff hätten, könnten sie mit Windows nicht arbeiten.
lesen ja, aber der User kann in kein Systemrelevantes Verzeichnis schreiben, braucht er auch nicht für seine Arbeit
Moin,
Und wo liegt das Skript dann?
lesen ja, aber der User kann in kein Systemrelevantes Verzeichnis schreiben, braucht er auch nicht für seine Arbeit
Lesen reicht ja, um aus einem Skript das Passwort auszulesen.
Egal. Macht, was Ihr wollt.
Liebe Grüße
Erik
Zitat von @MrHeisenberg:
Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Falsch, wie oben bereits erwähnt, wir spielen dieses Skript via RMM raus, also wie sollen die Zugriff haben?
Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Falsch, wie oben bereits erwähnt, wir spielen dieses Skript via RMM raus, also wie sollen die Zugriff haben?
Und wo liegt das Skript dann?
Unsinn. Wenn die User keinen lesenden Zugriff hätten, könnten sie mit Windows nicht arbeiten.
lesen ja, aber der User kann in kein Systemrelevantes Verzeichnis schreiben, braucht er auch nicht für seine Arbeit
Lesen reicht ja, um aus einem Skript das Passwort auszulesen.
Egal. Macht, was Ihr wollt.
Liebe Grüße
Erik
Zitat von @erikro:
Moin,
Und wo liegt das Skript dann?
Moin,
Zitat von @MrHeisenberg:
Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Falsch, wie oben bereits erwähnt, wir spielen dieses Skript via RMM raus, also wie sollen die Zugriff haben?
Sie haben Leserechte auf das Verzeichnis, in dem das Skript liegt.
Falsch, wie oben bereits erwähnt, wir spielen dieses Skript via RMM raus, also wie sollen die Zugriff haben?
Und wo liegt das Skript dann?
Im RMM-Tool, hier wird der Code geschrieben und dann über den RMM-Client ans jeweilige Gerät gesendet, also liegt am Gerät original nix vom Skript ;)
Egal. Macht, was Ihr wollt.
i will do ;)
