Theorie hinter Reset-ComputerMachinePassword

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

22.03.2016, aktualisiert 10:11 Uhr, 2142 Aufrufe, 5 Kommentare

Moin Kollegen.

Jeder hat früher oder später mal einen Domänencomputer, der die Vertrauensstellung zur Domäne verloren hat.
Patentrezept dagegen: raus aus der Domäne und wieder rein. Besseres Rezept: als lokaler Admin anmelden und Reset-ComputerMachinePassword auf der Powershell ausführen.
Mir fiel nun auf, dass man dabei keine Credentials angeben muss und es funktioniert trotzdem.
Ich verstehe nicht, warum. Wie kann es sein, dass ein lokaler Admin auf das AD schreiben darf (denn das tut er gerade, wenn das Rechnerkennwort zurückgesetzt wird)?

Klar, man kann argumentieren, dass er irgendwie das Systemkonto (welches ja ein Objekt im AD ist) dazu bewegt, für ihn zu handeln, aber gerade diesem Systemkonto wird ja (mangels gültigem Kennwort) derzeit nicht mehr vertraut.
Ich frage deshalb, weil ich dieses Sicherheitsprinzip hinterfragen möchte: was bringt es noch, einem PC de Vertrauensstellung zu entziehen, wenn er sie sich selbst wieder geben darf, auch ohne Domänencredentials?

Vielleicht hat sich ja jemand schon einmal diese Frage beantworten können.
Mitglied: 114757
114757 (Level 4)
LÖSUNG 22.03.2016, aktualisiert um 10:32 Uhr
Hi DWW,
der Artikel erklärt das ziemlich gut, besonders die letzte Frage geht auf deine Frage näher ein
https://blogs.technet.microsoft.com/askds/2009/02/15/machine-account-pas ...

Gruß jodel32
Bitte warten ..
Mitglied: emeriks
22.03.2016 um 10:36 Uhr
@114757
Guter Link, danke.
Allerdings erklärt das bloß Szenarien, wo der Client lokal das Passwort als geändert gespeichert hat, in der Domäne das aber nicht angekommen ist. Hier würde der Client also das letzte Passwort nochmal ausgraben, sich damit anmelden und dann das Passwort neu setzen.

@DWW
Ich würde also annehmen, dass Dein Fall dem o.g. entspricht.
Bitte warten ..
Mitglied: DerWoWusste
22.03.2016, aktualisiert um 10:44 Uhr
@114757
Moin. Ah... du meinst, weil das vorige zwischengespeicherte noch stimmt, wird ihm soweit vertraut, dass er es zumindest ändern darf?
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
22.03.2016, aktualisiert um 10:49 Uhr
Zitat von @DerWoWusste:

@114757
Moin. Ah... du meinst, weil das vorige zwischengespeicherte noch stimmt, wird ihm soweit vertraut, dass er es zumindest ändern darf?
In dem Fall gibt es keinen Vertrauensverlust, den gibt es nur wenn der Client kein gültiges altes Passwort mehr parat hat, nach mehr wie zwei Änderungen ist das nämlich weg.

Ich vermute das durch die pure Existenz des Computerkontos im AD das Kennwort trotzdem noch durch netdom oder via PS geändert werden kann, Anhand der GUID oder sonst was.
Bitte warten ..
Mitglied: DerWoWusste
22.03.2016 um 10:52 Uhr
Ja, das wird es sein, 2 Kennwörter werden herangezogen, das wusste ich nicht. Danke!
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Aufgabenplanung PowerShell Skript startet nicht
shooanVor 1 TagFrageWindows Server36 Kommentare

Hallo Zusammen, ich habe ein Skript bekommen das ich gerne so einstellen will das dieses beim Start des Exchangeservers aktiviert werden soll. Ein Ausführung ...

Internet
Webcam oder IPcam aus dem Internet erreichbar?
dertowaVor 1 TagFrageInternet17 Kommentare

Hallo zusammen, mal eine spezielle Frage, vielleicht kann jemand einen Dienst aufgrund guter Erfahrung empfehlen. Die Hündin einer guten Bekannten bekommt Nachwuchs und dafür ...

Windows Netzwerk
Computername erneut vergeben?
gelöst malkieVor 1 TagFrageWindows Netzwerk10 Kommentare

Guten Morgen, wir haben in der Firma Computernamen nach dem Muster: PC-Abteilung-Nummer (PC-IT-1) So, aktuell habe ich mal gelernt ganz früher, dass man den ...

LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 16 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Backup
Zusätzlicher Backupschutz gegen Ransomware Befall
staybbVor 1 TagFrageBackup4 Kommentare

Hallo zusammen, wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem ...

Hardware
Temperaturüberwachung Raum
ingo1988Vor 1 TagFrageHardware8 Kommentare

Hallo, ich brauche eure Hilfe. Ich möchte gerne eine Temperaturüberwachung installieren. Es sollte über Wifi funktionieren, ist aber kein Muss. Außerdem soll eine Alarmbenachrichtigung ...

Microsoft Office
E-Mail kommt nicht an
gelöst HeinrichMVor 1 TagFrageMicrosoft Office10 Kommentare

Hallo zusammen, in der letzten Zeit häufen sich die Meldungen, dass E-Mails nicht ankommen. Es ist kein Muster zu erkennen. Mal kommt eine Mail ...

Router & Routing
Verkaufe apu4.d4 Set
pasu69Vor 1 TagAllgemeinRouter & Routing11 Kommentare

Guten Abend zusammen, ich hätte ein APU4.D4 Bundle abzugeben, dass ich erst Anfang März gekauft habe. Leider ist die Hardware tatsächlich zu schwach, um ...