Windows Tresor per GPO leeren?

Hallo zusammen,

bei uns tritt häufig das Problem auf, dass veraltete Anmeldeinformationen (Outlook) im Tresor vorhanden sind und es dadurch zu Authentifizierungsproblemen kommt. Die Lösung ist den Tresor zu leeren und Outlook erneut zu starten.

Gibt es eine Möglichkeit das ganze zeitabhängig per Skript oder geplanten Task laufen zu lassen?

Gruß xbast1x

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 318373

Url: https://administrator.de/forum/windows-tresor-per-gpo-leeren-318373.html

Ausgedruckt am: 29.04.2025 um 06:04 Uhr

15 Kommentare

Neuester Kommentar

Hi,

Die Lösung ist den Tresor zu leeren

Wie? Mit CMDKEY ?

Gibt es eine Möglichkeit das ganze zeitabhängig per Skript oder geplanten Task laufen zu lassen?

Ja, als Benutzer-Anmeldescript per GPO.
Oder per GPO pro User einen Scheduled Task einrichten.

E.

Momentan mache ich es händisch wenn das Problem auftritt.

Bezüglich Skript habe ich leider keine Ahnung wie ich das ganze realisieren soll. Hast du eine Syntax? Ich habe bei meinen Recherchen leider nichts gefunden..

Momentan mache ich es händisch wenn das Problem auftritt.

Mit Löschpapier?

Bezüglich Skript habe ich leider keine Ahnung wie ich das ganze realisieren soll. Hast du eine Syntax? Ich habe bei meinen Recherchen leider nichts gefunden..

Das glaube ich nicht.
GPO Logon Script
Scheduled Task
CMDKEY Syntax
Batch File

CMD

for /f "tokens=1,* delims=: " %%a in ('cmdkey /list ^| findstr /i "Ziel:"') do @cmdkey /delete:"%%b"  

Powershell

cmdkey /list | ?{$_ -match 'Ziel: (.*)'} | %{cmdkey /delete:"$($matches[1])"}  

Danke euch beiden. Das Stichwort was mir gefehlt hat war CMDKey.

Merci

Zitat von @xbast1x:
Danke euch beiden. Das Stichwort was mir gefehlt hat war CMDKey.

Tomaten auf den Augen.

Wie? Mit CMDKEY ?

Oder wenn man cmdkey nicht nutzen will oder kann, warum auch immer, so gehts auch per ADVAPI mit etwas C# als Powershell um alle Credentials im Store zu löschen:

$code = @"  
using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Text;
using System.Threading.Tasks;
using System.Runtime.InteropServices;

public static class CredentialManager
{
    public static Credential ReadCredential(string applicationName, CredentialType credType)
    {
        IntPtr nCredPtr;
        bool read = CredRead(applicationName, credType, 0, out nCredPtr);
        if (read)
        {
                CREDENTIAL cred = (CREDENTIAL)Marshal.PtrToStructure(nCredPtr, typeof(CREDENTIAL));
                return ReadCredential(cred);
        }

        return null;
    }

    private static Credential ReadCredential(CREDENTIAL credential)
    {
        string applicationName = Marshal.PtrToStringUni(credential.TargetName);
        string userName = Marshal.PtrToStringUni(credential.UserName);
        string secret = null;
        if (credential.CredentialBlob != IntPtr.Zero)
        {
            secret = Marshal.PtrToStringUni(credential.CredentialBlob, (int)credential.CredentialBlobSize / 2);
        }

        return new Credential(credential.Type, applicationName, userName, secret);
    }

   
    public static IReadOnlyList<Credential> EnumerateCredentials()
    {
        List<Credential> result = new List<Credential>();

        int count;
        IntPtr pCredentials;
        bool ret = CredEnumerate(null, 0, out count, out pCredentials);
        if (count > 0) { 
            if (ret)
            {
                for (int n = 0; n < count; n++)
                {
                    IntPtr credential = Marshal.ReadIntPtr(pCredentials, n * Marshal.SizeOf(typeof(IntPtr)));
                    result.Add(ReadCredential((CREDENTIAL)Marshal.PtrToStructure(credential, typeof(CREDENTIAL))));
                }
            }
            else
            {
                int lastError = Marshal.GetLastWin32Error();
                throw new Win32Exception(lastError);
            }
            return result;
        }
        return result;
    }

    public static bool DeleteCredential(string Applicationname,CredentialType credType)
    {
        Credential cred = ReadCredential(Applicationname, credType);
        if (cred != null)
        {
            bool result = CredDelete(cred.ApplicationName, cred.CredentialType, 0);
            if (!result)
            {
                int lastError = Marshal.GetLastWin32Error();
                throw new Win32Exception(lastError);
            }
            return result;
        }
        else
        {
            throw new Exception();
        }
    }
    
    public static void DeleteAllCredentials() {
        IReadOnlyList<Credential> all = EnumerateCredentials();
        if (all.Count > 0) {
            foreach (Credential cred in all) {
                DeleteCredential(cred.ApplicationName, cred.CredentialType);
            }
        }
    }

    [DllImport("Advapi32.dll", EntryPoint = "CredReadW", CharSet = CharSet.Unicode, SetLastError = true)]  
    static extern bool CredRead(string target, CredentialType type, int reservedFlag, out IntPtr credentialPtr);

    [DllImport("advapi32", SetLastError = true, CharSet = CharSet.Unicode)]  
    static extern bool CredEnumerate(string filter, int flag, out int count, out IntPtr pCredentials);

    [DllImport("Advapi32.dll", EntryPoint = "CredFree", SetLastError = true)]  
    static extern bool CredFree([In] IntPtr cred);

    [DllImport("advapi32.dll", EntryPoint = "CredDeleteW", CharSet = CharSet.Unicode, SetLastError = true)]  
    private static extern bool CredDelete(string target, CredentialType type, int flags);


    private enum CredentialPersistence : uint
    {
        Session = 1,
        LocalMachine,
        Enterprise
    }

    [StructLayout(LayoutKind.Sequential, CharSet = CharSet.Unicode)]
    private struct CREDENTIAL
    {
        public uint Flags;
        public CredentialType Type;
        public IntPtr TargetName;
        public IntPtr Comment;
        public System.Runtime.InteropServices.ComTypes.FILETIME LastWritten;
        public uint CredentialBlobSize;
        public IntPtr CredentialBlob;
        public uint Persist;
        public uint AttributeCount;
        public IntPtr Attributes;
        public IntPtr TargetAlias;
        public IntPtr UserName;
    }
}

public enum CredentialType
{
    Generic = 1,
    DomainPassword,
    DomainCertificate,
    DomainVisiblePassword,
    GenericCertificate,
    DomainExtended,
    Maximum,
    MaximumEx = Maximum + 1000,
}

public class Credential
{
    private readonly string _applicationName;
    private readonly string _userName;
    private readonly string _password;
    private readonly CredentialType _credentialType;

    public CredentialType CredentialType
    {
        get { return _credentialType; }
    }

    public string ApplicationName
    {
        get { return _applicationName; }
    }

    public string UserName
    {
        get { return _userName; }
    }

    public string Password
    {
        get { return _password; }
    }

    public Credential(CredentialType credentialType, string applicationName, string userName, string password)
    {
        _applicationName = applicationName;
        _userName = userName;
        _password = password;
        _credentialType = credentialType;
    }

    public override string ToString()
    {
        return string.Format("CredentialType: {0}, ApplicationName: {1}, UserName: {2}, Password: {3}", CredentialType, ApplicationName, UserName, Password);  
    }
}

"@  
Add-Type -TypeDefinition $code
[CredentialManager]::DeleteAllCredentials()

Falls es jemand gebrauchen kann.

Grüße Uwe

p.s. Code ist etwas länger da er auch noch mehr kann als nur den Store komplett zu leeren

Noch eine Frage:

Per Logonskript leert er den Tresor nicht. Ich vermute, da noch andere Logonskripts laufen (ich habe testweise die Batch für den Tresor an die oberste Stelle der Reihenfolge verschoben)

Per Aufgabenplanung funktioniert es wunderbar, jedoch muss ich auch hier 30 Sekunden Delay einbauen. Ich würde gern das DOS Fenster welches erscheint unterdrücken doch bekomme es so nicht hin. Das Argument /min bzw. direkt vor dem Pfad der Batch Datei "start /min" "Pfad zur Batch" funktioniert auch nicht.

Gibt es eine Möglichkeit ohne VBS Skript ein DOS Fenster nicht sichtbar durch die Aufgabenplanung starten zu lassen?

Gibt es eine Möglichkeit ohne VBS Skript ein DOS Fenster nicht sichtbar durch die Aufgabenplanung starten zu lassen?

Ja. Aber nur wenn man es "unabhängig von der Anmeldung" (o.ä.) einrichtet, also am Task das Passwort hinterlegt. Und das kann man per GPO/GPP nicht.
Edit: Oder per Powershell-Einzeiler.

Per Logonskript leert er den Tresor nicht. Ich vermute, da noch andere Logonskripts laufen

Andere Scripte sind da irrelevant. Stell mal per GPO ein, dass die Loginscripte sichtbar laufen sollen und lass die Batch mit "pause" am Ende wartet. Dann kannst Du sehen, ob und was er macht bzw. warum nicht.

GPO Einstellungen + Skript habe ich angepasst. Ich sehe kein CMD Fenster.

Wie würde das ganz per Powershell aussehen. Wäre das Atribut dann "-windowstyle hidden" ?
cmdkey /list | ?{$_ -match 'Ziel: (.*)'} | %{cmdkey /delete:"$($matches[1])"}

Gruß

Powershell --> Da wäre @colinardo ne gute Adresse ...

-windowstyle hidden

Ja

Aber GPO-Logon-Scripts werden doch schon unsichtbar ausgeführt ??!
http://www.gruppenrichtlinien.de/artikel/anmelde-skripte/

Man kann das PS Fenster aber auch aus dem Skript selber heraus ohne diesen Parameter verstecken:

$showWindowAsync = Add-Type –memberDefinition @"   
[DllImport("user32.dll")]   
public static extern bool ShowWindowAsync(IntPtr hWnd, int nCmdShow); 
"@ -name "Win32ShowWindowAsync" -namespace Win32Functions –passThru  
[void]$showWindowAsync::ShowWindowAsync((Get-Process –id $pid).MainWindowHandle, 0) 

# und hier der Rest

Vielen Dank colinardo.

Skript funktioniert super (lokal getestet). Ich muss nur unter der GPO sagen, dass Powershell Skripte erlaubt sind. Ich habe jedoch folgenden Eintrag nicht "Policies\Administrative Templates\Windows Components\Windows PowerShell."

Die PowerShellExecutionPolicy.admx dafür ist vorhanden und liegt auch im %systemroot%/PolicyDefinitions, wird aber im GPO Editor nicht angezeigt.