Theorie hinter Reset-ComputerMachinePassword
Moin Kollegen.
Jeder hat früher oder später mal einen Domänencomputer, der die Vertrauensstellung zur Domäne verloren hat.
Patentrezept dagegen: raus aus der Domäne und wieder rein. Besseres Rezept: als lokaler Admin anmelden und Reset-ComputerMachinePassword auf der Powershell ausführen.
Mir fiel nun auf, dass man dabei keine Credentials angeben muss und es funktioniert trotzdem.
Ich verstehe nicht, warum. Wie kann es sein, dass ein lokaler Admin auf das AD schreiben darf (denn das tut er gerade, wenn das Rechnerkennwort zurückgesetzt wird)?
Klar, man kann argumentieren, dass er irgendwie das Systemkonto (welches ja ein Objekt im AD ist) dazu bewegt, für ihn zu handeln, aber gerade diesem Systemkonto wird ja (mangels gültigem Kennwort) derzeit nicht mehr vertraut.
Ich frage deshalb, weil ich dieses Sicherheitsprinzip hinterfragen möchte: was bringt es noch, einem PC de Vertrauensstellung zu entziehen, wenn er sie sich selbst wieder geben darf, auch ohne Domänencredentials?
Vielleicht hat sich ja jemand schon einmal diese Frage beantworten können.
Jeder hat früher oder später mal einen Domänencomputer, der die Vertrauensstellung zur Domäne verloren hat.
Patentrezept dagegen: raus aus der Domäne und wieder rein. Besseres Rezept: als lokaler Admin anmelden und Reset-ComputerMachinePassword auf der Powershell ausführen.
Mir fiel nun auf, dass man dabei keine Credentials angeben muss und es funktioniert trotzdem.
Ich verstehe nicht, warum. Wie kann es sein, dass ein lokaler Admin auf das AD schreiben darf (denn das tut er gerade, wenn das Rechnerkennwort zurückgesetzt wird)?
Klar, man kann argumentieren, dass er irgendwie das Systemkonto (welches ja ein Objekt im AD ist) dazu bewegt, für ihn zu handeln, aber gerade diesem Systemkonto wird ja (mangels gültigem Kennwort) derzeit nicht mehr vertraut.
Ich frage deshalb, weil ich dieses Sicherheitsprinzip hinterfragen möchte: was bringt es noch, einem PC de Vertrauensstellung zu entziehen, wenn er sie sich selbst wieder geben darf, auch ohne Domänencredentials?
Vielleicht hat sich ja jemand schon einmal diese Frage beantworten können.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 299754
Url: https://administrator.de/forum/theorie-hinter-reset-computermachinepassword-299754.html
Ausgedruckt am: 08.04.2025 um 19:04 Uhr
5 Kommentare
Neuester Kommentar

Hi DWW,
der Artikel erklärt das ziemlich gut, besonders die letzte Frage geht auf deine Frage näher ein
https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-pas ...
Gruß jodel32
der Artikel erklärt das ziemlich gut, besonders die letzte Frage geht auf deine Frage näher ein
https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-pas ...
Gruß jodel32
@114757
Guter Link, danke.
Allerdings erklärt das bloß Szenarien, wo der Client lokal das Passwort als geändert gespeichert hat, in der Domäne das aber nicht angekommen ist. Hier würde der Client also das letzte Passwort nochmal ausgraben, sich damit anmelden und dann das Passwort neu setzen.
@dww
Ich würde also annehmen, dass Dein Fall dem o.g. entspricht.
Guter Link, danke.
Allerdings erklärt das bloß Szenarien, wo der Client lokal das Passwort als geändert gespeichert hat, in der Domäne das aber nicht angekommen ist. Hier würde der Client also das letzte Passwort nochmal ausgraben, sich damit anmelden und dann das Passwort neu setzen.
@dww
Ich würde also annehmen, dass Dein Fall dem o.g. entspricht.

Zitat von @DerWoWusste:
@114757
Moin. Ah... du meinst, weil das vorige zwischengespeicherte noch stimmt, wird ihm soweit vertraut, dass er es zumindest ändern darf?
In dem Fall gibt es keinen Vertrauensverlust, den gibt es nur wenn der Client kein gültiges altes Passwort mehr parat hat, nach mehr wie zwei Änderungen ist das nämlich weg.@114757
Moin. Ah... du meinst, weil das vorige zwischengespeicherte noch stimmt, wird ihm soweit vertraut, dass er es zumindest ändern darf?
Ich vermute das durch die pure Existenz des Computerkontos im AD das Kennwort trotzdem noch durch netdom oder via PS geändert werden kann, Anhand der GUID oder sonst was.