Jump to content

2k3 AD - Probleme mit Computerkontokennwörtern per Kommandozeile überprüfen


Gadget
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hi,

 

wie ihr sicherlich wisst gibt es für Computerkonten im Active Directory Passwörter für diese Konten, dass so genannte Computerkontokennwort.

 

Diese Passwörter dienen der gesicherten Verbindung der Workstation zum Domänencontroller. Man kann dieses Feature per Lokalen Richtlinie deaktivieren, dies ist aber aus Sicherheitsgründen nicht empfehlenswert:

 

http://www.microsoft.com/technet/pr...7c40abbf8b.mspx

Zitat:

Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren

 

Legt fest, ob ein Domänenmitglied das Kennwort für sein Computerkonto regelmäßig ändert. Wurde diese Einstellung aktiviert, versucht das Domänenmitglied nicht, das Kennwort für sein Computerkonto zu ändern. Wurde diese Einstellung deaktiviert, versucht das Domänenmitglied, das Kennwort für sein Computerkonto gemäß der für Domänenmitglied: Maximalalter von Computerkontenkennwörtern angegebenen Einstellung (standardmäßig alle 30 Tage) zu ändern.

 

Diese Sicherheitseinstellung sollte nicht aktiviert werden. Kennwörter für Computerkonten werden zur Herstellung von sicheren Kommunikationskanälen zwischen Mitgliedscomputern und Domänencontrollern und (innerhalb der Domäne) unter Domänencontrollern verwendet. Sobald dieser sichere Kanal hergestellt wurde, wird er für die Übertragung vertraulicher Informationen verwendet. Diese Informationen sind notwendig, um Authentifizierungs- und Autorisierungsentscheidungen zu treffen.

 

 

Vorgehensweise von Windows NT bei unkorrekten Benutzer-/Computerkonto-Kennwörtern

http://support.microsoft.com/?kbid=200900

 

Wenn das Kennwort zwischen dem Konto im AD u. dem lokal gespeicherten der Workstation nicht übereinstimmt wird die Anmeldung verweigert, daher ist es ab und an beim Troubleshooting nötig diese Kennwortreplikation zu kontrollieren, dies funktioniert am besten mittels dsquery.

 

C:\>dsquery computer -stalepwd 30
"CN=PC1,OU=Test,DC=nwtraders,DC=msft"

 

Der Wert 30 gibt hier die Tage an seit wann keine Erneuerung des Computerkontokennworts stattgefunden hat. (Typischerweise treten solche Probleme beim Einsatz einer so genannten Wächter o. Reborncard auf.)

 

LG Gadget

Link to comment

hi,

das ist ein cooles Kommando!! Wir haben immer wieder Ärger mit abgelaufenen Computerkonten. Habs bisher nur immer reaktiv anhand von Eventlogs auf den DCs (Error 5722) behandelt.

Rücksetzen des pwds übrigens mit:

 

NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

 

cu

blub

Link to comment
  • 3 weeks later...
NETDOM RESETPWD /Server:domain-controller /UserD:user /PasswordD:[password | *]

Verstehe ich das richtig, dass ich damit an einer Workstation mit abgelaufenem Computerkonto das selbige zurücksetzen kann?

 

Hat eigentlich schon jemand Erfahrungen damit, ob mit dem u.g. Registry-Schlüssel das Ändern des Passworts auch bei Windows XP Workstations deaktiviert werden kann?

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange

 

Gruss

 

Jochen

Link to comment

Moin Jochen,

 

jo der Deaktivierung geht auch bei XP über den Key:

 

http://support.microsoft.com/kb/175468/en-us

Key = HLM\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters

Value = DisablePasswordChange REG_DWORD 1

 

Wobei es unter XP u. 2k3 auch mittels Gruppenrichtlinie verändert werden kann:

 

http://support.microsoft.com/kb/175468/en-us#XSLTH4138121123120121120120

• Domain Member: Disable machine account password changes (DisablePasswordChange)

• Domain Member: Maximum machine account password age (MaximumPasswordAge)

• Domain Controller: Refuse machine account password changes (RefusePasswordChange)

 

LG Gadget

Link to comment
  • 3 weeks later...
@Joe

 

mit Netdom kann man ein Kennwort eines DC zurrücksetzen.

Für einen PC nutzt man den Befehl dsmod.

Beispiel: dsmod computer <DN des Computers> -reset

 

 

Servus

 

Jian

Shit, im Moment habe ich genau das Problem: altes Image wiederhergestellt und dann die übliche Fehlermeldung an einem Windows 2000-Rechner. Wie muss ich die DN angeben? Wenn ich

dsmod computer userwkst.domain.local -reset

aufrufe, dann bekomme ich die Meldung "Target object for this command" hat ein falsches Format.

 

userwkst ist der Computername

domain der Domänenname

local der Domänenzusatz

 

Kann mir da einer kurzfristig weiterhelfen? Danke.

 

Joe

Link to comment

Ok, ich hab jetzt mittels dsquery die DN herausbekommen und den Befehl am Win2k3-Server aufgerufen. Muss ich jetzt den Windows 2000 Client neu der Domäne hinzufügen?

 

Joe

 

/Nachtrag: Geht das nicht irgendwie per Kommandozeile? Evtl. direkt vom Server aus?

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...