Lokales Adminkennwort per Powershell in IP-Bereich ändern
Mit dem folgenden Script ändern wir das Kennwort eines lokalen Benutzers Admin. Im oberen Teil wird das zu setzende Kennwort definiert sowie der Ort der Logdateien. In der Zeile 1..200 | % { $ip = „192.168.1.$_“ setzen wir den IP-Bereich sowie die IPs die das Script nutzt (in diesem Beispiel 192.168.1.1 bis 192.168.1.200).
$password=“GeheimesPasswort“
$LogPfad=“D:\Logs\“
$Erfolgreich=“PWDErfolgreich.txt“
$NichtErfolgreich=“PWDNichtErfolgreich.txt“$LogDatum=(Get-Date -format d.M.yyyy)
$obj = New-Object system.Net.NetworkInformation.Ping
1..200 | % { $ip = „192.168.1.$_“
$ping = $obj.send($ip,100)
#write-host „.“ -noNewLine
Write-Host „————————————————————“
Write-Host „Prüfe $ip auf Erreichbarkeit…“
if ($ping.status -eq „Success“){
pspasswd \\$ip Admin $password
$HostName = [System.Net.Dns]::GetHostByAddress($ip).HostName
$datum=(Get-Date -Format f)
Write-Output „Passwort für $HostName ($ip)am $datum geändert“|out-file $LogPfad$LogDatum$Erfolgreich -append
}
if ($ping.status -ne „Success“){
$datum=(Get-Date -Format f)
Write-Output „Passwort für $ip am $datum nicht geändert“|out-file $LogPfad$LogDatum$NichtErfolgreich -append}}
Das Script nutzt das Tool pspasswd aus den pstools von Microsoft für die Passwortänderung, es solle daher vor der Nutzung ins Windows Verzeichnis kopiert werden.
Da der lokale „Administrator“ Account immer über die gleiche SID verfügt, ist man gut bedient diesen Acount deaktiviert zu lassen und einen weiteren lokalen Account mit administrativen Rechten anzulegen und zu nutzen.
Windows Vista/7 verfügen übrigens über ein interessantes kaum bekanntes Feature. Wird auf einem nicht Domänen Rechner der letzte administrative Account neben dem Administrator Account gelöscht, so kann man sich im abgesicherten Modus über den Administrator Account anmelden. Erzeugt man einen weiteren lokalen Account mit administrativen Rechten, funktioniert dies nicht mehr.
Ist der Client Teil einer Domäne, funktioniert dieses Verhalten natürlich nicht, damit sich kein User durch eine einfache Anmeldung im abgesicherten Modus höhere Rechte verschaffen kann. Zugriff erhalten Domänen Admins über die cached Credentials, also die zwischengespeicherten Profile, nach einer vorherigen Anmeldung oder über den abgesicherten Modus mit Netzwerkzugriff. Wird der Computer z.B. auf Grund von Problemen aus der Domäne entfernt, gilt ab diesem Moment wieder das gleiche Verhalten wie für einen nicht domänen Client.
Timo Skupin, Jahrgang 1980, arbeitet bereits seit über 20 Jahren in der IT, aktuell als IT-Leiter eines mittelständischen Industrie Unternehmens. Zu seinen Spezialgebieten gehören neben der IT-Sicherheit und der Automatisierung von Abläufen, bevorzugt mit Powershell, die individuelle Problemlösung und Optimierung von IT-Arbeitsprozessen. In seiner Freizeit beschäftigt sich der leidenschaftliche Film-, Serien- und Reisefan gerne mit dem Raspberry Pi und dem Thema Heimautomatisierung.