gizi 10 Geschrieben 11. Mai 2010 Melden Geschrieben 11. Mai 2010 Hi, ich möchte erstmal ein herzliches "Hallo" an alle hier senden. Und schon habe ich ein Problem und hoffe Ihr könnt mir helfen. Wir vermuten das wir in unserem AD eine ganze handvoll User haben die noch ihr standart Passwort haben und dieses nie geändert haben. Wir vermuten auch das es ein paar User gibt die sich überhaupt noch nie angemeldet haben. Meine Frage an dieser Stelle ist jetzt: 1. Wie bekomme ich die User Identifiziert die Ihr Passwort noch NIE geändert haben? 2. Gibt es eine Möglichkeit zu vergleichen ob User das gleiche Passwort haben? 3. Gibt es eine Möglichkeit festzustellen wer wie oft sein Passwort geändert hat? 4. Wenn das alles nicht möglich ist dann ist unsere Überlegung mit einem Tool eine BrutForce Attacke zus starten um herauszufinden wer alles noch das Passwort hat was am Anfang vergeben wurde. Danke euch erstmal für die Antwort
Sonic 10 Geschrieben 11. Mai 2010 Melden Geschrieben 11. Mai 2010 verstehe dein Vorgehen nicht so ganz. Definiere am Besten die Kennwortrichtlinien in deiner GPO. Dann müssen deine User Ihr Passwort nach einer von Dir festgelegten Dauer ändern. Und beim Neuanlegen von Usern, kannst du den Haken "Benutzer muss Kennwort bei der nächsten Anmeldung ändern." setzten dann entsteht das Problem erst gar nicht. gruß Jens
gizi 10 Geschrieben 11. Mai 2010 Autor Melden Geschrieben 11. Mai 2010 ja, dass ist mir alles klar. ich hab aber das problem das es user gibt die sich niemals eingelogt haben und es user gibt die noch nie ihr passwort geändert haben. Diskusion darüber warum das so ist ist sinnlos denn es wird sich daran nichts ändern. Ich hab auch nicht die Möglichkeit alle Passwörter zurück zu setzten und die User dazu zu zwingen Passwörter zu ändern.
Sonic 10 Geschrieben 11. Mai 2010 Melden Geschrieben 11. Mai 2010 naja wie schon gesagt wenn es User gibt die noch nie Ihr Passwort geändert haben solltest du genau wie oben erwähnt Kennwortrichtlinien definieren. User die sich noch nie angemeldet haben, sollte es meiner Meinung gar nicht geben! Ok nur muss man natürlich auch wissen wer sich noch nie angemeldet hat ;-)
humpi 11 Geschrieben 11. Mai 2010 Melden Geschrieben 11. Mai 2010 Hallo, da gibt es das Tool NetPwAge >JSI Tip 3988. Network Account Password Age (NetPWAge) freeware. Vielleicht hilft das ja schon weiter.
gizi 10 Geschrieben 11. Mai 2010 Autor Melden Geschrieben 11. Mai 2010 naja wie schon gesagt wenn es User gibt die noch nie Ihr Passwort geändert haben solltest du genau wie oben erwähnt Kennwortrichtlinien definieren. User die sich noch nie angemeldet haben, sollte es meiner Meinung gar nicht geben! meiner meinung nach auch nicht aber so ist es leider nicht....... danke @humpi, werd mal versuchen ob ich damit was machen kann.
NilsK 3.046 Geschrieben 11. Mai 2010 Melden Geschrieben 11. Mai 2010 Moin, die User, die sich noch nie angemeldet oder die nie ihr Kennwort geändert haben, solltest du mit OldCMP rausfinden können. OldCmp Zur Prüfung des Standardkennworts: faq-o-matic.net Standardkennwort bei Benutzern prüfen Gruß, Nils
P.Foeckeler 11 Geschrieben 13. Mai 2010 Melden Geschrieben 13. Mai 2010 Hey, wenn ich noch ein paar technische Internas anmerken darf... User, die sich noch nie angemeldet haben, für die steht das Attribut "lastlogonTimeStamp" auf 0 oder ist nicht vorhanden. Das Datum, wann ein Benutzer sein Passwort zum letzten Mal gesetzt hat, kannst Du aus dem Attribut "pwdLastSet" auslesen, allerdings handelt es sich um einen Microsoft Integer-Wert, der erst in ein Datums-und Zeitformat umgewandelt werden will... entweder per Script oder mit Tools: Artikel im SelfADSI Tutorial über Microsoft Integer8 Auslesen, ob ein User ein Passwort hat oder nicht, das geht nicht, dazu müßtest du schon ein Cracking-Tool (oder im Euphemismus "Password Auditing" tool) wie z.B. L0phtCrack einsetzen. Aber gibt's da nicht "ethical issues", wenn man die Paswörter seiner Benutzer auslesen will? :shock: Gruß, Philipp
NilsK 3.046 Geschrieben 13. Mai 2010 Melden Geschrieben 13. Mai 2010 Moin, dazu noch eine Ergänzung: lastLogonTimestamp gibt es nur, wenn der Forest mindestens im 2003-Modus läuft. Gruß, Nils
Daim 12 Geschrieben 13. Mai 2010 Melden Geschrieben 13. Mai 2010 Servus, dann noch eine Korrektur zur Ergänzung von mir. lastLogonTimestamp gibt es nur, wenn der Forest mindestens im 2003-Modus läuft Du wolltest Domänenfunktionsmodus schreiben, nicht wahr. ;)
NilsK 3.046 Geschrieben 13. Mai 2010 Melden Geschrieben 13. Mai 2010 Moin, selbstverständlich. Gruß, Nils ... der das immer verwechselt.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden