2k3 AD - Probleme mit Computerkontokennwörtern per Kommandozeile überprüfen

Hi,

wie ihr sicherlich wisst gibt es für Computerkonten im Active Directory Passwörter für diese Konten, dass so genannte Computerkontokennwort.

Diese Passwörter dienen der gesicherten Verbindung der Workstation zum Domänencontroller. Man kann dieses Feature per Lokalen Richtlinie deaktivieren, dies ist aber aus Sicherheitsgründen nicht empfehlenswert:

http://www.microsoft.com/technet/pr...7c40abbf8b.mspx

Zitat:

Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren

Legt fest, ob ein Domänenmitglied das Kennwort für sein Computerkonto regelmäßig ändert. Wurde diese Einstellung aktiviert, versucht das Domänenmitglied nicht, das Kennwort für sein Computerkonto zu ändern. Wurde diese Einstellung deaktiviert, versucht das Domänenmitglied, das Kennwort für sein Computerkonto gemäß der für Domänenmitglied: Maximalalter von Computerkontenkennwörtern angegebenen Einstellung (standardmäßig alle 30 Tage) zu ändern.

Diese Sicherheitseinstellung sollte nicht aktiviert werden. Kennwörter für Computerkonten werden zur Herstellung von sicheren Kommunikationskanälen zwischen Mitgliedscomputern und Domänencontrollern und (innerhalb der Domäne) unter Domänencontrollern verwendet. Sobald dieser sichere Kanal hergestellt wurde, wird er für die Übertragung vertraulicher Informationen verwendet. Diese Informationen sind notwendig, um Authentifizierungs- und Autorisierungsentscheidungen zu treffen.

Vorgehensweise von Windows NT bei unkorrekten Benutzer-/Computerkonto-Kennwörtern

http://support.microsoft.com/?kbid=200900

Wenn das Kennwort zwischen dem Konto im AD u. dem lokal gespeicherten der Workstation nicht übereinstimmt wird die Anmeldung verweigert, daher ist es ab und an beim Troubleshooting nötig diese Kennwortreplikation zu kontrollieren, dies funktioniert am besten mittels dsquery.

C:\>dsquery computer -stalepwd 30
"CN=PC1,OU=Test,DC=nwtraders,DC=msft"

Der Wert 30 gibt hier die Tage an seit wann keine Erneuerung des Computerkontokennworts stattgefunden hat. (Typischerweise treten solche Probleme beim Einsatz einer so genannten Wächter o. Reborncard auf.)

LG Gadget

hi,

das ist ein cooles Kommando!! Wir haben immer wieder Ärger mit abgelaufenen Computerkonten. Habs bisher nur immer reaktiv anhand von Eventlogs auf den DCs (Error 5722) behandelt.

Rücksetzen des pwds übrigens mit:

NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

cu

blub

NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

Verstehe ich das richtig, dass ich damit an einer Workstation mit abgelaufenem Computerkonto das selbige zurücksetzen kann?

Hat eigentlich schon jemand Erfahrungen damit, ob mit dem u.g. Registry-Schlüssel das Ändern des Passworts auch bei Windows XP Workstations deaktiviert werden kann?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange

Gruss

Jochen

@Joe

mit Netdom kann man ein Kennwort eines DC zurrücksetzen.

Für einen PC nutzt man den Befehl dsmod.

Beispiel: dsmod computer <DN des Computers> -reset

Servus

Jian

Moin Jochen,

jo der Deaktivierung geht auch bei XP über den Key:

http://support.microsoft.com/kb/175468/en-us

Key = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

Value = DisablePasswordChange REG_DWORD 1

Wobei es unter XP u. 2k3 auch mittels Gruppenrichtlinie verändert werden kann:

http://support.microsoft.com/kb/175468/en-us#XSLTH4138121123120121120120

• Domain Member: Disable machine account password changes (DisablePasswordChange)

• Domain Member: Maximum machine account password age (MaximumPasswordAge)

• Domain Controller: Refuse machine account password changes (RefusePasswordChange)

LG Gadget

@Joe

 

mit Netdom kann man ein Kennwort eines DC zurrücksetzen.

Für einen PC nutzt man den Befehl dsmod.

Beispiel: dsmod computer <DN des Computers> -reset

 

 

Servus

 

Jian

Shit, im Moment habe ich genau das Problem: altes Image wiederhergestellt und dann die übliche Fehlermeldung an einem Windows 2000-Rechner. Wie muss ich die DN angeben? Wenn ich

dsmod computer userwkst.domain.local -reset

aufrufe, dann bekomme ich die Meldung "Target object for this command" hat ein falsches Format.

userwkst ist der Computername

domain der Domänenname

local der Domänenzusatz

Kann mir da einer kurzfristig weiterhelfen? Danke.

Joe

Ok, ich hab jetzt mittels dsquery die DN herausbekommen und den Befehl am Win2k3-Server aufgerufen. Muss ich jetzt den Windows 2000 Client neu der Domäne hinzufügen?

Joe

/Nachtrag: Geht das nicht irgendwie per Kommandozeile? Evtl. direkt vom Server aus?

Hallo Zusammen

Ja wenn das Image ein gewisses Alter überschreitet.

Mit netdom join .... (siehe netdom help join) kann vom client aus gejoined werden. Remote joining geht zwar (beispielsweise übern Logonscript), aber es ist IMMER client aktiv d.h. remote nicht durchführbar.

Gruss,

Matthias