Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hi,

wir ändern zurzeit unsere Kennwörter bei den Usern. Das ganze habe ich etwas automatisiert, indem ich mir im Netz einige Powershell-Scripte angesehen habe. Dabei ist folgendes herausgekommen:


Import-Module ActiveDirectory #HENSELAD importieren


Import-Csv "PassChange.csv" | Foreach { #PassChange.csv importieren (name=Username, pw=Neues Kennwort)

    $user = $_.name #Variable user setzen

    $pw = $_.pw #Variable Kennwort setzen



    try {

        Set-ADAccountPassword -Identity $user -NewPassword (ConvertTo-SecureString -AsPlainText $pw -force) -Reset #Neues Kennwort setzen

        Write-Output "$user,Success" #Success bei Erfolg ausgeben

    } catch {

        Write-Output "$user,Error" #Error bei Fehler ausgeben

    }

} | Out-File PassChange.log


Es wird also aus der CSV Datei username und Kennwort ausgelesen. Klappt auch fast immer aber bei einigen muss man das Kennwort manuell neu setzen. Es wird trotzdem in der Logdatei ein Success ausgegeben.

Ich vermute, dass dies an den Kennwörter liegt. Es handelt sich dabei um ein Wort, drei Zahlen und ein Sonderzeichen. Das Sonderzeichen variiert immer, deshalb liegt die Vermutung nahe, dass es da Probleme gibt.

Zum Beispiel macht das §-Zeichen große Probleme, aber bei anderen Zeichen tritt das Problem genauso auf.

Handelt es sich hier in irgendeiner Art und Weise um eine Escape-Sequenz oder etwas ähnliches?

LG :)

Geschrieben

Für was braucht ihr da ein Script?

Einfach im AD setzen, dass der Nutzer beim nächsten Login ein neues Passwort wählen muss und gut ist?!

Oder gibt es den begründeten Verdacht, dass Accounts kompromittiert wurden?

So sperrt ihr doch die Nutzer aus, weil sie das neue Kennwort nicht kennen.

Erschließt sich mir nicht...

Tippe ebenfalls auf eine Escapesequenz.

Schau dir das mal an: C# verbatim strings vs. PowerShell here-strings | John D. Cook

Geschrieben

Weil wir aufgrund der besseren Administrierbarkeit die Kennwörter kennen sollen. Über Sinn und Unsinn möchte ich aber eigentlich nicht diskutieren, weil das nicht in meiner Entscheidungsgewalt lag (sonst wäre es vermutlich so gemacht worden, wie du geschrieben hast).

Geschrieben
Weil wir aufgrund der besseren Administrierbarkeit die Kennwörter kennen sollen

Aufgrund der sehr guten Administrierbarkeit ist es mir egal welches Kennwort ein User hat: Brauche ich dringen Zugriff auf sein Konto und er ist nicht da, wird das Kennwort zurückgesetzt und gut ist.

Hat den Vorteil, dass der User dafür verantwortlich gemacht werden kann wenn in seinem Namen etwas angestellt wird, da nur er sein Kennwort kennen darf.

Wenn es nicht über zurücksetzen geht, muss er halt hier antraben.

Es gibt keinen Grund warum irgendjemand, und schon gar nicht die IT, fremde Kennwörter kennen muss, und ich würde auch den Teufel tun und so arbeiten.

Datenschutzrechtlich extrem bedenklich und keinerlei Möglichkeit von Seiten der IT zu sagen "wir haben nix gemacht".

Bei euch kann der Anwender hergehen und soweit seine Rechte reichen den Fileserver löschen oder anderen Quatsch machen (gibt auch einige sehr schöne Dinge für die man nur User Rechte braucht). Niemand kann beweisen dass es dieser User war.

Meiner Meinung nach liegt euer Problem nicht in dem Script sondern in einer absolut bescheuerten Kennwortpolitik.

Geschrieben (bearbeitet)

Ich habe dir bereits einen Link gepostet gehabt, hast du dir das mal angesehen?

C# verbatim strings vs. PowerShell here-strings | John D. Cook

Die Entscheidung ist aber dennoch hirnrissig von eurem Unternehmen.

Haben wir hier einen Datenschützer im Forum?

Wenn das mit deutschem Recht nicht vereinbar ist, seht ihr bei der nächsten Prüfung ganz alt aus.

Betriebsrat hin oder her, die kochen auch nur mit Wasser...

Ein Arbeitnehmer wird vor Gericht mit relativ hoher Wahrscheinlichkeit gewinnen, wenn ihr ihm nahelegt Daten entwendet zu haben.

Den meisten Möglichkeiten des Nachweises beraubt ihr euch gerade selber.

Sorry, aber da fehlen mir echt die Worte...

Bearbeitet von orioon
Geschrieben

Topic: Ich habe es mir bereits angesehen. Da es bei Kennwörtern mit § aber andere Probleme gibt (Batch Dateien, etc) wird das §-Zeichen nun ersetzt..

Offtopic: Mein Chef kennt die Argumente, aber da habe ich nunmal nichts zu sagen.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...