• Homepage
  • >
  • Blog
  • >
  • Globales Ändern von Administratorkennwörtern in einer Windows-Domäne

Globales Ändern von Administratorkennwörtern in einer Windows-Domäne

Jeder Administrator kennt das Problem: Mitarbeiter scheiden aus und Kennwörter müssen (und sollten!) geändert werden. Das ist für Konten, die sich in einer Active Directory-Domäne finden, domänenweit recht einfach gemacht, doch was ist mit den – oft vergessenen – lokalen Administratoren der Memberserver und PCs? Was in einem Netz mit zehn Domänenmitgliedern noch recht einfach erscheint (und trotzdem einen gewissen Aufwand darstellt!), kann in grösseren Netzwerken einer Sisyphusarbeit gleichkommen. Einfacher geht es, wenn man sich einmal mit dem Derivat des Schweizer Taschenmessers für Windows – nämlich Mark Russinovich’s „Sysinternals Suite“ – beschäftigt:

Das die „Sysinternals Suite“ Tools für den täglichen Gebrauch darstellen, sollte hinlänglich bekannt sein – speziell dort, wo Windows mit Bordmitteln gewisse Funktionen einfach nicht anbietet. Für das hier vorliegende Beispiel ist beispielsweise ein Element der „Sysinternals Suite“ der sprichwörtliche Stein der Weisen: „pspassw“. Das Tool kann entweder in der kompletten Suite oder einzeln heruntergeladen werden und sollte nach dem Herunterladen in einem Systempfad entpackt werden (ein systemweiter Aufruf der Tools ist somit von jedem Verzeichnis aus möglich), alternativ können ordentliche Menschen dann aber auch ein Verzeichnis ihrer Wahl, zum Beispiel C:ProgrammeSysinternals Suite auswählen und gegebenenfalls dieses Verzeichnis der „PATH“-Variable in den Systemeigenschaften hinzufügen.

Ruft man die Datei „pspasswd“ nun ohne Variablen auf, erscheint direkt der Hilfetext des wirklich übersichtlichen Tools:

PsPasswd v1.22 – Local and remote password changer
Copyright (C) 2003-2004 Mark Russinovich
Sysinternals – www.sysinternals.com

PsPasswd changes passwords on a local or remote system.

Usage: pspasswd [[computer[,computer,[,…]|Domain]|@file] [-u Username [-p Password]]] Username [NewPassword]

computer    Direct PsPasswd to perform the command on the remote computer or computers specified. If you omit the computer name PsPasswd runs the command on the local system, and if you specify a wildcard (*), PsPasswd runs the command on all computers in the current domain.

@file       PsPasswd will change the password on the computers listed in the file.

-u          Specifies optional user name for login to remote
computer.
-p          Specifies optional password for user name. If you omit this  you will be prompted to enter a hidden password.

Username    Specifies name of account for password change.

NewPassword New password. If ommitted a NULL password is applied.

Aufgabenstellung ist nun, den Domänenadministrator und die lokalen Administratoren („Administrator“) der sich in der Domäne befindenden Server und PCs ausnahmslos durch das gewünschte Kennwort (zum Beispiel „Admin@46325!!_BOR“) zu ersetzen. Dafür reicht nun eine Befehlszeile auf dem Domänencontroller:

„pspasswd * Administrator Admin@46325!!_BOR“

Alternativ kann zur besseren Übersicht der gesamte Output dieses Befehls in eine Textdatei geschrieben werden, zum Beispiel so:

„pspasswd * Administrator Admin@46325!!_BOR > pspasswd.txt“

Natürlich kann anstatt der Wildcard „*“ auch der Name des Domänenmitglieds, dessen lokaler Administrator geändert werden soll, spezifisch durch den Namen (z. B. „DE463250C00032“) ersetzt werden.

Auch hier gilt: Auch wenn viele der Meinung sind, dass komplexe Passwörter an Paranoia grenzen, empfehle ich tunlichst, gewisse Sicherheitsrichtlinien einfach einzuhalten, denn lokale Administratorkennwörter wie „password“, „Pass-Word“ oder „qwertzuiop“ sind ein gefundendes Fressen für die Wörterbücher von Trojanern und Schädlingen aller Art. Wer auf Domänenebene ein komplexes Kennwort verwendet und den lokalen Administrator der Domänenmitglieder beispielsweise ohne Kennwort (auch das gibt es leider!) betreibt, öffnet unerwünschten Gästen fahrlässig Tür und Tor!

Alles in allem ist „pspasswd“ sehr übersichtlich und – gerade in grösseren Netzwerken – quasi Gold wert, da es mit wenig administrativen Aufwand viel Zeit und Lauferei spart. Ein Blick über den Tellerrand in Richtung übriger Sysinternals Tools lohnt sich übrigens – sollte dies noch nicht geschehen sein – ebenfalls!

Quellen:

  1. http://technet.microsoft.com/de-de/sysinternals/bb842062 – Sysinternals Suite
  2. http://technet.microsoft.com/de-de/sysinternals/bb897543 – PsPasswd v1.22
  • facebook
  • googleplus
  • twitter
  • linkedin
  • linkedin
  • linkedin

Stolzer Familienvater. Digital Native und chronischer Device-Switcher. Multimedia-Freak. UK-Fan, auch mit Brexit. Blogger mit stets zu wenig Zeit. Hobbyphilosoph. Musik-Enthusiast. Querdenker. Zyniker. Hauptberuflicher IT-Consultant- & Vertriebler. Auch zu finden bei XING. Dieser Artikel hat einen Job oder zumindest Euren Seelenfrieden gerettet und gegebenfalls sogar für Kurzweil gesorgt? Die PayPal-Kaffeekasse freut sich - dankeschön!

  • facebook
  • twitter
  • googleplus
  • linkedIn
  • instagram
  • telegram

Kommentar verfassen