Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Wachtwoorden aanpassen via Group Policy Preferences

Pagina: 1
Acties:

maandag 30 juni 2014 16:15

Acties:
  • rookie no. 1
  • Registratie: Juni 2004
  • Laatst online: 27-11 12:46

rookie no. 1

Topicstarter
Nog niet zo lang geleden is er een update uitgekomen die, vanwege security issues, wachtwoorden aanpassen via Group Policy Preferences onmogelijk maakt (MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege: May 13, 2014).

Deze functionaliteit is natuurlijk niet voor niets toegevoegd sinds Windows Server 2008 en is behoorlijk makkelijk gebleken bv. in omgevingen waar lokale administrator wachtwoorden niet consequent waren ingesteld en waar je dit op een eenvoudige manier gelijk wilde trekken.

De alternatieve manier die Microsoft aangeeft is via een (voorbeeld) Powershell script de functionaliteit alsnog te kunnen benutten en betekent dit dat deze functionaliteit geheel niet meer via GPO's (GUI) benut kan worden?

Zijn er handige alternatieven die jullie gebruiken?

maandag 30 juni 2014 18:02

Acties:
  • CMD-Snake
  • Registratie: Oktober 2011
  • Laatst online: 13-11-2022

CMD-Snake

rookie no. 1 schreef op maandag 30 juni 2014 @ 16:15:
Zijn er handige alternatieven die jullie gebruiken?
Niet voor het achteraf aanpassen. Normaliter wordt er een sterk wachtwoord op gezet en zit dit in de template van een server of wordt het gezet bij installatie middels SCCM bijvoorbeeld.

Altijd alle wachtwoorden van lokale accounts gelijk houden kan ook een risico zijn. Als het wachtwoord lekt dan kan een misbruiker op alle machines ineens inloggen als bijvoorbeeld het lokaal administrator account.

Zolang de wachtwoorden sterk zijn, en ergens bekend in bijvoorbeeld een oplossing als Keepass dan is het redelijk veilig.

dinsdag 1 juli 2014 17:49

Acties:
  • rookie no. 1
  • Registratie: Juni 2004
  • Laatst online: 27-11 12:46

rookie no. 1

Topicstarter
Ik begrijp wat je bedoelt, alleen is het doel bij ons:
1-bij werkstations/laptops waar geen local admin account wachtwoord van bekend is (omgevingen die we overnemen van bv. andere leveranciers) snel en eenvoudig de wachtwoorden bijwerken
2-in het geval local admin voor security redenen snel gewijzigd moet worden, dat dit ook centraal uitgevoerd kan worden.

Als punt 1 niet lukt, dan gaan IT medewerkers als workaround eenvoudig weg met domain admin wachtwoorden aanmelden op werkstations en laptops en dát wil je echt niet.
Als punt 2 niet makkelijk gaat, kost het gewoonweg teveel tijd om dat uit te voeren per werkstation c.q. laptop

Kortom ik ben nog steeds benieuwd hoe andere IT-ers hun local admin passwords centraal wijzigen op een eenvoudige en snelle manier :+

dinsdag 1 juli 2014 19:57

Acties:
  • akimosan
  • Registratie: Augustus 2003
  • Niet online

akimosan

Zal dus via scripts moeten (microsoft levert een powershell script hiervoor, zoals je zelf al aangaf)
Eventueel third party oplossingen (even geen bij mij bekend)
Via een package en package management oplossing als SCCM (wrap je script in een MSI of bouw een MSI wat hetzelfde doet als het powershell script of via net user iets doet op de machine zelf)

woensdag 2 juli 2014 11:55

Acties:
  • mindcre8r
  • Registratie: Maart 2000
  • Laatst online: 21-11 12:17

mindcre8r

Tradepedia

Rookie, het is gedaan om dat met reverse engineering de gpo kon worden uitgelezen in de sysvol.

the way to go now is idd een powershell script, je kan meerdere scripts maken uiteraard om verschillende ou's aan te pakken. je kan hier ook een variabele in maken.

zie deze link om je goed op weg te helpen.

ik gebruik zelf ESD om scripts te sturen naar al mijn computers / users.

Bears and Bulls

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq