Herausfinden, wieviele Benutzer kein Kennwort haben?
Gross, Michael
wir haben momentan mal wieder eine durch einen Wirtschaftsprüfer geführte
IT-Prüfung.
Die wollen nun wissen, wieviele Benutzer in unserem Active Directory kein
Kennwort haben. Gibt es eine Möglichkeit, das rauszubekommen?
Es geht wie gesagt nicht darum wer kein Kennwort hat, sondern wieviele.
Gruß
Michael
Mark Heitbrink [MVP]
Gross, Michael schrieb:
> Die wollen nun wissen, wieviele Benutzer in unserem Active Directory kein
> Kennwort haben. Gibt es eine Möglichkeit, das rauszubekommen?
Wenn die Kennwortrichtlinie auf "mindestens 1 Zeichen" steht, gibt
es keinen Einzigen ...
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Norbert Fehlauer [MVP]
Hi,
> Wenn die Kennwortrichtlinie auf "mindestens 1 Zeichen" steht, gibt
> es keinen Einzigen ...
Kommt aber drauf an, wann diese Richtlinie aktiviert wurde ;)
L0pht Crack konnte sowas auslesen. Aber ich vermute mal, dass geht auch mit
anderen Tools.
Bye
Norbert
--
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Nils Kaczenski [MVP]
Gross, Michael schrieb:
> Die wollen nun wissen, wieviele Benutzer in unserem Active Directory kein
> Kennwort haben. Gibt es eine Möglichkeit, das rauszubekommen?
hm. Vielleicht hilft dieser Ansatz:
http://www.faq-o-matic.net/2007/01/23/standardkennwort-bei-benutzern-pruefen/
Es gibt aber auch kommerzielle Tools, die solche Reports machen.
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
Norbert Fehlauer [MVP]
Hi,
> Es gibt aber auch kommerzielle Tools, die solche Reports machen.
Jupp wobei Google bei query blank passwort Active Directory auch jede
Menge ausspuckt. Ist mir irgendwie unklar, wie man bei der Menge Hits
noch fragen muß ;)
So wie ich gesehen habe, gehts aber auch per VB-Skript.
Bye
Norbert
Gross, Michael
>Jupp wobei Google bei query blank passwort Active Directory auch jede
>Menge ausspuckt. Ist mir irgendwie unklar, wie man bei der Menge Hits
>noch fragen muß ;)
Bevor irgendeine Google-Methode an einem großen AD ausprobiere, frage
ich eben lieber die Experten :-)
Danke für Eure Hilfe.
Norbert Fehlauer [MVP]
Hi,
> Bevor irgendeine Google-Methode an einem großen AD ausprobiere, frage
> ich eben lieber die Experten :-)
Jaja, okok genug das Ego gestreichelt ;)
In einem großen AD testet man vorher sowieso immer nochmal an einem kleinen
AD ;)
Bye
Norbert
Gross, Michael
>In einem großen AD testet man vorher sowieso immer nochmal an einem kleinen
>AD ;)
Ja ist klar. Das Empty Password Users Report Tool habe ich gerade getestest
und es hat problemlos funktioniert - das werde ich dann nehmen.
Danke
Michael
Norbert Fehlauer [MVP]
Hi,
> Ja ist klar. Das Empty Password Users Report Tool habe ich gerade
> getestest
> und es hat problemlos funktioniert - das werde ich dann nehmen.
Ich überleg grad, ob der MBSA das nicht auch konnte. Dann bliebest du
immerhin noch bei MS. ;)
![Profilfoto von Yusuf Dikmenoglu [MVP]](http://lh3.googleusercontent.com/a-/ALV-UjVSfir_PZ33H-rAl-Ok3VcX_e5IOWz0fDiJuKNVXMKumpzVsA=s40-c)
Yusuf Dikmenoglu [MVP]
"Norbert Fehlauer [MVP]" wrote:
> Ich berleg grad, ob der MBSA das nicht auch konnte.
der "Microsoft Baseline Security Analyzer" hat eine Option die sich "Auf
schwache Kennwörter überprüfen" nennt. Dieser Test überprüft ob ein schwaches
oder gar kein Kennwort für die einzelnen LOKALEN Benutzerkonten existieren.
Die Überprüfung wird dabei nicht auf einem DC ausgeführt.
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de
![Profilfoto von Winfried Sonntag [MVP]](http://lh3.googleusercontent.com/a-/ALV-UjXdEqZtpkXz0AFa1lLZBTRauO9fuu7812JL6tBjN90kK4_WHg=s40-c)
Winfried Sonntag [MVP]
> Ich überleg grad, ob der MBSA das nicht auch konnte. Dann bliebest du
> immerhin noch bei MS. ;)
IMHO ja, der wirft auch kurze Passwörter aus.
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
Norbert Fehlauer [MVP]
Hi,
> der "Microsoft Baseline Security Analyzer" hat eine Option die sich "Auf
> schwache Kennwörter überprüfen" nennt. Dieser Test überprüft ob ein
> schwaches
> oder gar kein Kennwort für die einzelnen LOKALEN Benutzerkonten
> existieren.
Käme ja aufs Gleiche raus ;)
> Die Überprüfung wird dabei nicht auf einem DC ausgeführt.
Was passiert denn, wenn ich den MBSA auf einem DC ausführe?
bye
Norbert
Yusuf Dikmenoglu [MVP]
"Norbert Fehlauer [MVP]" wrote:
> Was passiert denn, wenn ich den MBSA auf einem DC ausführe?
Die Kennwortüberprüfung wird vom MBSA nicht auf einem DC ausgeführt.
Die Meldung vom MBSA lautet:
=========================
Kennwortüberprüfung für lokale Konten
Auf einem Domänencontroller werden keine Kennwortüberprüfungen durchgeführt.
=========================
Norbert Fehlauer [MVP]
Hi,
> Die Kennwortüberprüfung wird vom MBSA nicht auf einem DC ausgeführt.
> Die Meldung vom MBSA lautet:
>
> =========================
> Kennwortüberprüfung für lokale Konten
> Auf einem Domänencontroller werden keine Kennwortüberprüfungen
> durchgeführt.
> =========================
OK, danke.
Bye
Norbert
Frank Friebe
> hm. Vielleicht hilft dieser Ansatz:
> http://www.faq-o-matic.net/2007/01/23/standardkennwort-bei-benutzern-pruefen/
Sollte ein Auslesen nicht auch über LDAP funktionieren, wenn man das
entsprechende Attribut kennt? Habe mal in diese Richtung recherchiert,
leider kein Attribut gefunden was dafür herhalten kann.
Frank Friebe
Nils Kaczenski [MVP]
Frank Friebe schrieb:
> Sollte ein Auslesen nicht auch über LDAP funktionieren, wenn man das
> entsprechende Attribut kennt?
nein. Kennwörter können über LDAP, ADSI usw. nicht ausgelesen werden.
Gross, Michael
In meinem Test-AD habe ich ein paar Benutzer mit leeren Passwörtern
erstellt und anschließend die Kennwortrichtlinie wie folgt gesetzt:
Enforce password history 0 passwords remembered
Maximum password age 0
Minimum password age 0 days
Minimum password lenght 8 characters
Password must meet complexity requirements Disabled
Store passwords using reversible encryption Disabled
Nach einem gpupdate /force auf dem Domänencontroller wollte ich nun
bei den Benutzern mit leeren Kennwörtern die Option
"User must change password at next logon"
setzen, damit sich die Benutzer beim nächsten Anmelden ein Kennwort
vergeben müssen, das den neuen Richtlinien entspricht (8 Zeichen).
Leider kann ich die Option nicht aktivieren - beim Bestätigen durch
OK kommt folgende Meldung:
"The following Active Directory error occured: Unable to update
the password. The value provided for the new password does not
meet the length, complexity, or history requirement of the
domain."
Bei Benutzern, die vorher schon ein Kennwort hatten, kann ich die
Option dagegen erfolgreich aktivieren.
Weiß jemand, was ich falsch mache? Momentan erschließt sich mir der
Sinn der Meldung "The value provided for the password..." nicht,
denn alleine durch das Aktivieren der Option, dass der Benutzer das
Passwort bei der nächsten Anmeldung ändern muss, gebe ich doch gar
keinen Wert für das Passwort an?!
Gruß
Michael
Nils Kaczenski [MVP]
Gross, Michael schrieb:
> denn alleine durch das Aktivieren der Option, dass der Benutzer das
> Passwort bei der nächsten Anmeldung ändern muss, gebe ich doch gar
> keinen Wert für das Passwort an?!
mag sein, dass der GUI-Dialog eine Kennwortprüfung ausführt. Du kannst
das Attribut aber auch per Skript setzen, z.B. im CMD-Fenster mit net
user ... /LOGONPASSWORDCHG:YES.
Gross, Michael
>mag sein, dass der GUI-Dialog eine Kennwortprüfung ausführt. Du kannst
>das Attribut aber auch per Skript setzen, z.B. im CMD-Fenster mit net
>user ... /LOGONPASSWORDCHG:YES.
Offenbar scheint das ein generelles Problem zu sein. Freundlicherweise
hat die Konstellation im mcseboard.de jemand nachgestellt und kann das
Problem reproduzieren.
Es gibt aber zwei Workarounds:
1. Option "User must change password at next logon" *vor* dem Ändern
der Kennwortrichtlinie setzen.
2. Option via Script setzen:
http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/pwds/uspwvb12.mspx?mfr=true
Gruß
Michael