Kennwortänderung für alle Benutzer in Microsoft 365 erzwingen

Free digital security background“/ CC0 1.0

Das Erzwingen einer „selbstständigen“ Kennwortänderung kommt schon mal vor – vor allem, wenn ein Admin mit viel Wissen ein Unternehmen verlässt. Das ist in Microsoft 365 im GUI leider nicht möglich, aber natürlich an der PowerShell.

So zwingt man einen (oder mehrere) Benutzer, das eigene Kennwort bei der nächsten Anmeldung zu ändern – ohne das Kennwort zu kennen.

Lösung

Nach dem Obligatorischen Connect-MsolService:

Set-MsolUserPassword -UserPrincipalName [email protected] -ForceChangePasswordOnly $true -ForceChangePassword $true

Das lässt sich nun weiterverarbeiten.

Zum Beispiel, um alle Microsoft 365 Benutzer „auf einmal“ zu zwingen, ihr Kennwort zu ändern:

Get-MsolUser -All | Set-MsolUserPassword -ForceChangePasswordOnly $true -ForceChangePassword $true

So filtert man (zum Beispiel) eine Gruppe von Benutzern und erzwingt die Änderung:

Get-MsolUser -All | ? { $_.Country -eq "Hessen"} | Set-MsolUserPassword -ForceChangePasswordOnly $true -ForceChangePassword $true

Wichtig: Man muss sowohl den Parameter ForceChangePassword als auch ForceChangePasswordOnly setzen. Wenn man ForceChangePasswordOnly überspringt, wird nur ein neues Kennwort für den Benutzer (automatisch) generiert und man muss selbiges manuell verteilen (Stichwort „Initialkennwort“).

Ältere HP-Switches (ProCurve) „Unable to negotiate with <DEVICE> port 22: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1“

Ältere HP Switches oder andere embedded-Systeme sprechen schon mal kein aktuelles SSH und aus Sicherheitsgründen lehnt der Default SSH-Client die Verbindung ab. Es gibt eine ganze Menge Key-Exchange-Methoden, die mittlerweile veraltet sind oder als unsicher gelten.

Der entscheidende Teil ist dabei der Letzte, der Angibt, welche Verfahren der Server anbietet:

Unable to negotiate with SWITCH.EXAMPLE.COM port 22: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1

Denn man muss seinem SSH-Client nur noch beibringen, dass dieser das für diese Verbindung akzeptieren soll.

Lösung

SSH versteht mit dem Parameter -o die „optionalen“ Verfahren für die Verbindung:

ssh -o KexAlgorithms=diffe-hellman-group14-sha1 [email protected]

Je nach Switch (=SSH-Server) einfach das passende Verfahren benennen, fertig.

Passiert das häufiger, also verbindet man sich öfter mit diesem Gerät, kann (sollte) man die passende Konfiguration in seine ~/.ssh/config eintragen:

Host SWITCH.EXAMPLE.COM
    Ciphers 3des-cbc
    KexAlgorithms +diffie-hellman-group14-sha1
    User administrator

PowerShell „FIND: Parameterformat falsch“

Alte Admins tippen auch an der PowerShell gerne mal das gute alte find anstelle von select-string. Obwohl das Parameterformat nahzu idetisch ist, wird man alte Angewohnheiten ja nicht so schnell los ☺️

Allerdings beschwert sich die PowerShell über die ungewohnten Anführungszeichen:

PS C:\> arp -a | find /i "00"
FIND: Parameterformat falsch

Lösung

Die „korrekte“ PowerShell-Variante nutzt nur select-string oder die Kurzform sls.

Das ist auch gar nicht so schlecht, denn selbiges beherrscht unter anderen auch regex und Simple Pattern Matching. Es ist aber auch die gute alte Form möglich, die nur zusätzlich mit dem Apostoph escaped werden muss:

# Die ausgeschriebene Form
arp -a | Select-String -Pattern "00"

# Verkürzte Form
arp -a | sls "00"

# Wie-von-Batch-gewohnt Form
arp -a | find /i '"00"'

SSD und HDD Modellnummern und Seriennummern unter Windows auslesen

Per Zufall grade gefunden: Man kann unter Windows schnell mal eben die Seriennummer(n) der angeschlossenen Festplatte(n) und SSDs herausfinden.

Der Windows Gerätemanager zeigt solche Gerätedaten (irritierenderweise) nicht an, aber zum Glück kann WMI das und die PowerShells spricht ja bekanntlich auch WMI.

Lösung

PowerShell

Get-PhysicalDisk | Select-Object FriendlyName,SerialNumber

CMD

wmic diskdrive get model,serialNumber,size

PowerShell Skripts als geplante Tasks in der Aufgabenplanung starten

Es gibt ein Update zu diesem Artikel: https://www.ugg.li/powershell-scripts-starten-in-der-aufgabenplanung-nicht-ergebnis-0x1/

Powershell-Script lassen sich an der (Powershell-) Kommandozeile komfortabel starten, jedoch nicht ohne weiteres in geplanten Tasks.

Das geht schnell, einfach und Fehlertolerant so:
powershell-aufgabenplanung-startenFeld Programm/Script:

%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe

Argumente:

-noninteractive -file "C:\PF AD\SCRIPT.ps1" -ExecutionPolicy Bypass

Mehr Details dazu hat das MSDN in diesem Artikel, aber im Prinzip ist es das schon.