{"id":335,"date":"2018-11-08T17:45:08","date_gmt":"2018-11-08T16:45:08","guid":{"rendered":"http:\/\/home.g-lorenzen.de\/?p=335"},"modified":"2018-11-08T17:45:08","modified_gmt":"2018-11-08T16:45:08","slug":"usermanagement-im-ad","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2018\/11\/08\/usermanagement-im-ad\/","title":{"rendered":"Pr\u00fcfung Usermanagement im AD"},"content":{"rendered":"

W\u00e4hrend einer IT Pr\u00fcfung schaut man sich auch gerne das Usermanagement an. Neben Berechtigungen schaue ich mir auch gerne den generellen Umgang mit Benutzerkonten nicht nur im Finanzbuchhaltungssystem an, sondern auch gerne im AD. Hierf\u00fcr habe ich mir mittlerweile ein- wie ich finde- ordentliches Skript erarbeitet.<\/p>\n

Hierf\u00fcr muss man in der AD- Powershell folgenden Befehl absetzen:<\/p>\n

Get-ADUser -filter * -properties distinguishedName, userPrincipalName, passwordlastset, passwordneverexpires,LastLogonDate, PasswordNotRequired, CannotChangePassword, LockedOut, msDS-PSOAppliesTo, msNPAllowDialin, userAccountControl | sort-object name | select-object Name, distinguishedName, userPrincipalName, passwordlastset, passwordneverexpires, lastlogondate, PasswordNotRequired, CannotChangePassword, LockedOut, msDS-PSOAppliesTo, msNPAllowDialin, userAccountControl | Export-csv -path C:\\temp\\Users.csv -encoding default -delimiter „;“ -NoTypeInformation<\/p><\/blockquote>\n

Als Ergebnis (Textdatei Users.txt wird in C:\\temp\\ abgelegt) bekommt man einen Export aller User aus dem Active Directory mit den folgenden Parametern:
\npasswordlastset – Wann wurde zuletzt das Passwort ge\u00e4ndert?
\npasswordneverexpires – L\u00e4uft das Kennwort ab?
\nLastLogonDate – letztes Anmeldedatum
\nPasswordNotRequired – Wird \u00fcberhaupt ein Passwort ben\u00f6tigt
\nCannotChangePassword – Kann der User \u00fcberhaupt das Passwort \u00e4ndern?
\nLockedOut – Ist das Konto gesperrt?
\nuserAccountControl – Ist das Konto aktiviert \/ deaktiviert?<\/p>\n

Der Parameter „userAccountControl“ wirft allerdings nur Zahlen, die man wieder interpretieren muss. Im Technet findet man die L\u00f6sung:
\nhttps:\/\/social.technet.microsoft.com\/Forums\/en-US\/69211f96-b17e-43aa-9a6a-4f8e99ae2b3a\/useraccountcontrol-and-employeestatus?forum=ilm2><\/p>\n

512 Enabled Account
\n514 Disabled Account
\n544 Enabled, Password Not Required
\n546 Disabled, Password Not Required
\n66048 Enabled, Password Doesn’t Expire
\n66050 Disabled, Password Doesn’t Expire
\n66080 Enabled, Password Doesn’t Expire & Not Required
\n66082 Disabled, Password Doesn’t Expire & Not Required
\n262656 Enabled, Smartcard Required
\n262658 Disabled, Smartcard Required
\n262688 Enabled, Smartcard Required, Password Not Required
\n262690 Disabled, Smartcard Required, Password Not Required
\n328192 Enabled, Smartcard Required, Password Doesn’t Expire
\n328194 Disabled, Smartcard Required, Password Doesn’t Expire
\n328224 Enabled, Smartcard Required, Password Doesn’t Expire & Not Required
\n328226 Disabled, Smartcard Required, Password Doesn’t Expire & Not Required<\/p><\/blockquote>\n

Die Textdatei l\u00e4sst dich gut in Excel importieren und dann dort filtern. Dabei kommen dann immer Fragen auf, die man mit dem Verantwortlichen kl\u00e4ren muss.
\nz.B. Warum gibt es eine Anzahl von Benutzern, die sich schon lange nicht angemeldet haben? Warum haben Benutzer, obwohl es eine Richtlinie f\u00fcr Passwort\u00e4nderungen gibt, ihr Kennwort nicht \u00e4ndern m\u00fcssen? Warum sind ausgeschiedene Benutzer nicht gesperrt?<\/p>\n

#Update 14.03.2019<\/p>\n

Formatierung, ANSI- Export und Einwahlproperty hinzugef\u00fcgt<\/p>\n","protected":false},"excerpt":{"rendered":"

W\u00e4hrend einer IT Pr\u00fcfung schaut man sich auch gerne das Usermanagement an. Neben Berechtigungen schaue…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-335","post","type-post","status-publish","format-standard","hentry","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=335"}],"version-history":[{"count":0,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/335\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}