Archiv des Autors: weed

Ein offenes Geheimnis unter Administratoren ist, das kaum jemand sein Active Directory vollumfänglich pflegt. Computer werden getauscht, neu installiert oder gewechselt ohne das jemand die verwaisten Konten entfernt. Doch wie findet man diese Einträge möglich schnell?

Computer ändern ihre Computerkennwort für die Domänenanmeldung selbstständig alle 30 Tage (unter NT4 waren das noch 7 Tage). Daher ist eine längere Kennwortänderung schon ein recht gutes Indiz für „tote“ Computerkonten.

So bekommt man (ab der Windows 2003 pur Funktionsebene) veraltete Computerkonten:

dsquery computer -stalepwd 50

„stalepwd“ gibt die Anzahl abgelaufenen Tage von „heute“ aus an. Die Ausgabe des Kommandos dann auch direkt in dsrm umgeleitet werden, um die toten Rechner direkt zu löschen:

dsquery computer -stalepwd 50 | dsrm -noprompt -c

Windows Server seit 2008 lassen nach einem Domain-Join den Haken „Benutzer müssen beim start des Computers Name und Kennwort eingeben“ verschwinden, der vorher noch in „control userpasswords2“ sichtbar war.

Trotzdem kann ein Windows Server (auf Windows Server 2012 und 2012R2) natürlich immernoch automatisch eingeloggt werden. Dazu müssen diese Schlüssel gesetzt werden (oder noch einfach: gleich die ganze .reg-File importiert werden):

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoAdminLogon"="1"
"DefaultUserName"="BENUTZER"
"DefaultPassword"="KENNWORT"
"DefaultDomainName"="DOMÄNE"

Über das Sicherheitsproblem, das ein Klartext-Kennwort in der Registry in einem für jeden Benutzer lesbaren Schlüssel impliziert, verlieren wir aber natürlich kein Wort 🙂

Der orginal-KB dazu stammt aus den Windows2000-Zeiten und findet sich unter http://support.microsoft.com/kb/324737/de