Lokales Adminkennwort per Powershell in IP-Bereich ändern

Mit dem folgenden Script ändern wir das Kennwort eines lokalen Benutzers Admin. Im oberen Teil wird das zu setzende Kennwort definiert sowie der Ort der Logdateien. In der Zeile 1..200 | % { $ip = „192.168.1.$_“ setzen wir den IP-Bereich sowie die IPs die das Script nutzt (in diesem Beispiel 192.168.1.1 bis 192.168.1.200).

$password=“GeheimesPasswort“
$LogPfad=“D:\Logs\“
$Erfolgreich=“PWDErfolgreich.txt“
$NichtErfolgreich=“PWDNichtErfolgreich.txt“

$LogDatum=(Get-Date -format d.M.yyyy)

$obj = New-Object system.Net.NetworkInformation.Ping
1..200 | % { $ip = „192.168.1.$_“
$ping = $obj.send($ip,100)
#write-host „.“ -noNewLine
Write-Host „————————————————————“
Write-Host „Prüfe $ip auf Erreichbarkeit…“
if ($ping.status -eq „Success“){
pspasswd \\$ip Admin $password
$HostName = [System.Net.Dns]::GetHostByAddress($ip).HostName
$datum=(Get-Date -Format f)
Write-Output „Passwort für $HostName ($ip)am $datum geändert“|out-file $LogPfad$LogDatum$Erfolgreich -append
}
if ($ping.status -ne „Success“){
$datum=(Get-Date -Format f)
Write-Output „Passwort für $ip am $datum nicht geändert“|out-file $LogPfad$LogDatum$NichtErfolgreich -append

}}

Das Script nutzt das Tool pspasswd aus den pstools von Microsoft für die Passwortänderung, es solle daher vor der Nutzung ins Windows Verzeichnis kopiert werden.

Da der lokale „Administrator“ Account immer über die gleiche SID verfügt, ist man gut bedient diesen Acount deaktiviert zu lassen und einen weiteren lokalen Account mit administrativen Rechten anzulegen und zu nutzen.

Windows Vista/7 verfügen übrigens über ein interessantes kaum bekanntes Feature. Wird auf einem nicht Domänen Rechner der letzte administrative Account neben dem Administrator Account gelöscht, so kann man sich im abgesicherten Modus über den Administrator Account anmelden. Erzeugt man einen weiteren lokalen Account mit administrativen Rechten, funktioniert dies nicht mehr.

Ist der Client Teil einer Domäne, funktioniert dieses Verhalten natürlich nicht, damit sich kein User durch eine einfache Anmeldung im abgesicherten Modus höhere Rechte verschaffen kann. Zugriff erhalten Domänen Admins über die cached Credentials, also die zwischengespeicherten Profile, nach einer vorherigen Anmeldung oder über den abgesicherten Modus mit Netzwerkzugriff. Wird der Computer z.B. auf Grund von Problemen aus der Domäne entfernt, gilt ab diesem Moment wieder das gleiche Verhalten wie für einen nicht domänen Client.

Print Friendly, PDF & Email
Februar 23, 2012

Schlagwörter: , , , , , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.