wir haben momentan mal wieder eine durch einen Wirtschaftsprüfer geführte
IT-Prüfung.
Die wollen nun wissen, wieviele Benutzer in unserem Active Directory kein
Kennwort haben. Gibt es eine Möglichkeit, das rauszubekommen?
Es geht wie gesagt nicht darum wer kein Kennwort hat, sondern wieviele.
Gruß
Michael
Gross, Michael schrieb:
> Die wollen nun wissen, wieviele Benutzer in unserem Active Directory kein
> Kennwort haben. Gibt es eine Möglichkeit, das rauszubekommen?
Wenn die Kennwortrichtlinie auf "mindestens 1 Zeichen" steht, gibt
es keinen Einzigen ...
Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy
Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
> Wenn die Kennwortrichtlinie auf "mindestens 1 Zeichen" steht, gibt
> es keinen Einzigen ...
Kommt aber drauf an, wann diese Richtlinie aktiviert wurde ;)
L0pht Crack konnte sowas auslesen. Aber ich vermute mal, dass geht auch mit
anderen Tools.
Bye
Norbert
--
Gruppenrichtlinien Mailingliste "gpupdate":
http://frickelsoft.net/cms/index.php?page=mailingliste
Gross, Michael schrieb:
> Die wollen nun wissen, wieviele Benutzer in unserem Active Directory kein
> Kennwort haben. Gibt es eine Möglichkeit, das rauszubekommen?
hm. Vielleicht hilft dieser Ansatz:
http://www.faq-o-matic.net/2007/01/23/standardkennwort-bei-benutzern-pruefen/
Es gibt aber auch kommerzielle Tools, die solche Reports machen.
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
https://mvp.support.microsoft.com/profile/Nils.Kaczenski
> Es gibt aber auch kommerzielle Tools, die solche Reports machen.
Jupp wobei Google bei query blank passwort Active Directory auch jede
Menge ausspuckt. Ist mir irgendwie unklar, wie man bei der Menge Hits
noch fragen muß ;)
So wie ich gesehen habe, gehts aber auch per VB-Skript.
Bye
Norbert
Bevor irgendeine Google-Methode an einem großen AD ausprobiere, frage
ich eben lieber die Experten :-)
Danke für Eure Hilfe.
> Bevor irgendeine Google-Methode an einem großen AD ausprobiere, frage
> ich eben lieber die Experten :-)
Jaja, okok genug das Ego gestreichelt ;)
In einem großen AD testet man vorher sowieso immer nochmal an einem kleinen
AD ;)
Bye
Norbert
Ja ist klar. Das Empty Password Users Report Tool habe ich gerade getestest
und es hat problemlos funktioniert - das werde ich dann nehmen.
Danke
Michael
> Ja ist klar. Das Empty Password Users Report Tool habe ich gerade
> getestest
> und es hat problemlos funktioniert - das werde ich dann nehmen.
Ich überleg grad, ob der MBSA das nicht auch konnte. Dann bliebest du
immerhin noch bei MS. ;)
"Norbert Fehlauer [MVP]" wrote:
> Ich berleg grad, ob der MBSA das nicht auch konnte.
der "Microsoft Baseline Security Analyzer" hat eine Option die sich "Auf
schwache Kennwörter überprüfen" nennt. Dieser Test überprüft ob ein schwaches
oder gar kein Kennwort für die einzelnen LOKALEN Benutzerkonten existieren.
Die Überprüfung wird dabei nicht auf einem DC ausgeführt.
--
Regards from Rhein-Main/Germany
Yusuf Dikmenoglu - MVP Directory Services
Blog: http://blog.dikmenoglu.de
> Ich überleg grad, ob der MBSA das nicht auch konnte. Dann bliebest du
> immerhin noch bei MS. ;)
IMHO ja, der wirft auch kurze Passwörter aus.
Servus
Winfried
--
Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
GPO's: http://www.gruppenrichtlinien.de
> der "Microsoft Baseline Security Analyzer" hat eine Option die sich "Auf
> schwache Kennwörter überprüfen" nennt. Dieser Test überprüft ob ein
> schwaches
> oder gar kein Kennwort für die einzelnen LOKALEN Benutzerkonten
> existieren.
Käme ja aufs Gleiche raus ;)
> Die Überprüfung wird dabei nicht auf einem DC ausgeführt.
Was passiert denn, wenn ich den MBSA auf einem DC ausführe?
bye
Norbert
Die Kennwortüberprüfung wird vom MBSA nicht auf einem DC ausgeführt.
Die Meldung vom MBSA lautet:
=========================
Kennwortüberprüfung für lokale Konten
Auf einem Domänencontroller werden keine Kennwortüberprüfungen durchgeführt.
=========================
> Die Kennwortüberprüfung wird vom MBSA nicht auf einem DC ausgeführt.
> Die Meldung vom MBSA lautet:
>
> =========================
> Kennwortüberprüfung für lokale Konten
> Auf einem Domänencontroller werden keine Kennwortüberprüfungen
> durchgeführt.
> =========================
OK, danke.
Bye
Norbert
> hm. Vielleicht hilft dieser Ansatz:
> http://www.faq-o-matic.net/2007/01/23/standardkennwort-bei-benutzern-pruefen/
Sollte ein Auslesen nicht auch über LDAP funktionieren, wenn man das
entsprechende Attribut kennt? Habe mal in diese Richtung recherchiert,
leider kein Attribut gefunden was dafür herhalten kann.
Frank Friebe
Frank Friebe schrieb:
> Sollte ein Auslesen nicht auch über LDAP funktionieren, wenn man das
> entsprechende Attribut kennt?
nein. Kennwörter können über LDAP, ADSI usw. nicht ausgelesen werden.
In meinem Test-AD habe ich ein paar Benutzer mit leeren Passwörtern
erstellt und anschließend die Kennwortrichtlinie wie folgt gesetzt:
Enforce password history 0 passwords remembered
Maximum password age 0
Minimum password age 0 days
Minimum password lenght 8 characters
Password must meet complexity requirements Disabled
Store passwords using reversible encryption Disabled
Nach einem gpupdate /force auf dem Domänencontroller wollte ich nun
bei den Benutzern mit leeren Kennwörtern die Option
"User must change password at next logon"
setzen, damit sich die Benutzer beim nächsten Anmelden ein Kennwort
vergeben müssen, das den neuen Richtlinien entspricht (8 Zeichen).
Leider kann ich die Option nicht aktivieren - beim Bestätigen durch
OK kommt folgende Meldung:
"The following Active Directory error occured: Unable to update
the password. The value provided for the new password does not
meet the length, complexity, or history requirement of the
domain."
Bei Benutzern, die vorher schon ein Kennwort hatten, kann ich die
Option dagegen erfolgreich aktivieren.
Weiß jemand, was ich falsch mache? Momentan erschließt sich mir der
Sinn der Meldung "The value provided for the password..." nicht,
denn alleine durch das Aktivieren der Option, dass der Benutzer das
Passwort bei der nächsten Anmeldung ändern muss, gebe ich doch gar
keinen Wert für das Passwort an?!
Gruß
Michael
Gross, Michael schrieb:
> denn alleine durch das Aktivieren der Option, dass der Benutzer das
> Passwort bei der nächsten Anmeldung ändern muss, gebe ich doch gar
> keinen Wert für das Passwort an?!
mag sein, dass der GUI-Dialog eine Kennwortprüfung ausführt. Du kannst
das Attribut aber auch per Skript setzen, z.B. im CMD-Fenster mit net
user ... /LOGONPASSWORDCHG:YES.
Offenbar scheint das ein generelles Problem zu sein. Freundlicherweise
hat die Konstellation im mcseboard.de jemand nachgestellt und kann das
Problem reproduzieren.
Es gibt aber zwei Workarounds:
1. Option "User must change password at next logon" *vor* dem Ändern
der Kennwortrichtlinie setzen.
2. Option via Script setzen:
http://www.microsoft.com/technet/scriptcenter/scripts/ad/users/pwds/uspwvb12.mspx?mfr=true
Gruß
Michael