mm53 0 Geschrieben 23. April 2014 Melden Geschrieben 23. April 2014 Hallo zusammen, ich bin neu hier... :-) Ich habe ein kleines Problem.... In unserer Firma gibt es eine Revisionsfestsellung zum Thema "Kennwort Änderung bei lokalen BUILT-IN-Admin-Konten". So weit so gut. Jetzt war die Idee die betroffenen Konten per SCCM zu deaktivieren und mit einem unbekannten PW zu versehen. Sollte das Konto für Wartungsarbeiten benötigt werden, kann per SCCM und Orchestrator-Workflow das Konto aktiveriert und mit einem StandardPW versehen werden, incl. dem UserFlag "Benutzer muss Kennwort bei der nächsten Anmeldung ändern". Leider läßt sich dieses Flag nicht setzen, da lt. MS das Flag read-only ist. (http://msdn.microsoft.com/en-us/library/aa772300(VS.85).aspx). Hat jemand eine schlaue Idee das Ganze, am Besten per Powershell V2.0 (W2K3-Server sind noch am Start....) zu lösen. Danke für Eure Hilfe mm53
Daniel -MSFT- 129 Geschrieben 23. April 2014 Melden Geschrieben 23. April 2014 (bearbeitet) Geht mit dsmod: dsmod user UserDN -pwdNewPassword dsmod user UserDN -mustchpwd {yes|no} Via PowerShell gehts imho ab Windows Server 2008: http://technet.microsoft.com/de-de/library/dd391883.aspx bearbeitet 23. April 2014 von Daniel -MSFT-
testperson 1.859 Geschrieben 23. April 2014 Melden Geschrieben 23. April 2014 Hi, evtl. per Group Policy Preferences die Option für das lokale Built-In Adminkonto setzen? Gruß Jan
mm53 0 Geschrieben 23. April 2014 Autor Melden Geschrieben 23. April 2014 Hallo, erstmal Danke für die Antwort. Aber es handelt sich hierbei nicht um AD-Konten sondern um das lokale BUILTIN-Adminkonto. Funktionieren die DS-Tools auch bei lokalen Konten?? Wie schon erwähnt, soll das Ganze per SCCM, bei Bedarf gesteuert werden. Soll heißen: keine Policies, sondern gezielt per Script. Gruß mm53
Sunny61 833 Geschrieben 23. April 2014 Melden Geschrieben 23. April 2014 erstmal Danke für die Antwort. Aber es handelt sich hierbei nicht um AD-Konten sondern um das lokale BUILTIN-Adminkonto. Mit Hilfe der Group Policy Preferences kannst Du Lokale Konten bearbeiten!
mm53 0 Geschrieben 23. April 2014 Autor Melden Geschrieben 23. April 2014 Danke für Eure Antworten. Aber ich brauch eine Lösung, die per Script und SCCM funktioniert. GPO und CO... nutzt mir hier nichts. Sollte dennoch jemand eine clevere Lösung parat haben, wäre ich sehr dankbar. Gruß mm53
Sunny61 833 Geschrieben 23. April 2014 Melden Geschrieben 23. April 2014 Aktivieren und PW setzen: Visual Basic-Quellcode set WshShell = WScript.CreateObject("WScript.Shell") 'Das Admin Konto aktivieren WshShell.Run "net.exe user ""Administrator"" /active:yes", 7 , True 'Das Admin Password setzen. WshShell.Run "net.exe user ""Administrator"" ""Password""", 7 , True Das ist ein simples VB-Script, AFAIK kann der SCCM so etwas auf dem Client ausführen. Was genau hast Du denn bisher schon alles?
Daniel -MSFT- 129 Geschrieben 23. April 2014 Melden Geschrieben 23. April 2014 Dann nimm das net user-Kommando. Folgende Schalter wären vermutlich von Interesse: /logonpasswordchg:{yes | no}
mm53 0 Geschrieben 25. April 2014 Autor Melden Geschrieben 25. April 2014 Hallo zusammen, nochmals Danke für die Antworten. Hab's jetzt folgendermaßen gelöst. $LocalAdmin = Get-WMIObject Win32_UserAccount -filter "LocalAccount=True AND SID like '%-500'" $strComputer = $env:computername $Password = "Pa$$w0rd" $admin = [adsi]("WinNT://" + $strComputer + "/$($LocalAdmin.Name), user") $admin.psbase.invoke("SetPassword", $Password) $LocalAdmin.Disabled = $False $LocalAdmin.Put() $admin.PasswordExpired = -1 $admin.SetInfo() Gruß mm53
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden