Wo ist ein AD User überall hinterlegt: mit PS Skript umsetzbar?

[andrew 15]

Hallo zusammen

 

Möglicherweise seit Ihr alle schon Minimum 1x in euer IT-Karriere in der Situation gewesen, wo Ihr für ALLE AD Konten in der Firma oder für eine Firma die Passwörter ändern musstet.

Wenn alles Optimal läuft, gibt es für jeden AD User entweder im AD selbst im Feld Beschreibung eine schlauen Hinweis, wo das Konto hinterlegt wurde oder die Information ist im Minimum im Passwort Tool entsprechend dokumentiert.

 

Wenn dem NICHT so ist und man trifft z.B. über 50 System User an, bei welchen man nicht wirklich weiss, auf welchem System diese hinterlegt wurden, Frage: Kann man dies mit PowerShell herausfinden und gibt es schon irgendwo im Netz eine Vorlage?

 

Nette Grüsse
André

bearbeitet 20. Oktober 2023 von andrew
Rechtschreibefehler im Titel

[BOfH_666 586]

Ich habe Deine Frage zwar nicht wirklich verstanden, aber ich würde sagen "Auf jeden Fall".  ¯\_(ツ)_/¯

 

Sag doch noch mal genau, was Du im AD suchst?

 

Wenn es um einen erzwungen Passwort-Wechsel geht, brauchst Du ja nur die Property "ChangePasswordAtLogon" auf "$true" setzen und die Andwendenden müssen bei der nächsten Anmeldung ihr Passwort wechseln.

bearbeitet 20. Oktober 2023 von BOfH_666

[NilsK 3.046]

Moin,

 

ich weiß nicht, ob es heute noch ohne Anpassung funktioniert, aber vor 15 Jahren (!) hab ich mal was dafür gebaut. Das dürfte die meisten Fälle erwischen.

 

[Dienst- und Task-Konten identifizieren | faq-o-matic.net]
https://www.faq-o-matic.net/2008/12/25/dienst-und-task-konten-identifizieren/

 

Gruß, Nils

 

[Dukel 468]

Es geht um Serviceuser, die entweder in einem geplanten Task oder bei einem Service (beides kann man per Powershell abfragen) oder sonst irgendwo hinterlegt sind.

Für letzteres wird es spannend. Im Nachgang wird es schwirig. Für das nächste mal gibt es Passwort Management Tools, die den Passwort wechsel automatisieren.

[NorbertFe 2.283]

vor 1 Minute schrieb Dukel:

Für das nächste mal gibt es Passwort Management Tools, die den Passwort wechsel automatisieren.

https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/ ;) Da braucht man nicht mal Tools für.

[BOfH_666 586]

vor 1 Minute schrieb Dukel:

Es geht um Serviceuser, die entweder in einem geplanten Task oder bei einem Service (beides kann man per Powershell abfragen) oder sonst irgendwo hinterlegt sind.

Ach, so rum. Da war ich auf der falschen Spur.  ¯\_(ツ)_/¯

[Dukel 468]

vor 10 Minuten schrieb NorbertFe:

https://www.frankysweb.de/group-managed-service-accounts-gmsa-fuer-tasks-und-dienste/ ;) Da braucht man nicht mal Tools für.

 

Wenn die entsprechenden Applikationen gMSA unterstützen. Diverse Tools können z.B. in Config Dateien bei einerm SQL Verbindung genutzt werden, das wird mit gMSA sicher nicht gehen.

 

Aber, wenn die Anforderungen passen, ist da eine Alternative (bzw. das ist dann das Passwort Management Tool).

[cj_berlin 1.508]

vor 2 Stunden schrieb andrew:

 

Wenn dem NICHT so ist und man trifft z.B. über 50 System User an, bei welchen man nicht wirklich weiss, auf welchem System diese hinterlegt wurden, Frage: Kann man dies mit PowerShell herausfinden und gibt es schon irgendwo im Netz eine Vorlage?

Moin,

je nachdem, wie weit die Audit Logs auf den DCs zurück reichen, könnte man ja die Logon-Events auswerten und nach LogonType 4 (Batch) und 5 (Service) filtern.

Ansonsten für Services:

Get-WMIObject Win32_Service -Filter "StartName='account@doma.in' OR StartName='DOMAIN\\account'"

Für SchTasks:

Get-ScheduledTask | Where-Object {$_.Principal.UserID -eq 'account'}