NEU · .NET 10 · Windows Server 2019/2022/2025
ISW AD Password Rotator ab dem 10.04.2026
Automatische, BSI-konforme Rotation von Active-Directory-Passwörtern für Service-Accounts und privilegierte Benutzer – mit vollständigem Audit-Log, SQL Server-Unterstützung und gMSA-Integration.
🔐 ISW AD Password Rotator
Das Problem: Statische Passwörter im Active Directory
In fast jedem Windows-Netzwerk gibt es sie: Service-Accounts, SQL-Dienst-Konten und privilegierte Benutzer, deren Passwörter seit Monaten oder Jahren unverändert sind. Das ist nicht nur ein Sicherheitsrisiko – es ist auch ein handfestes Compliance-Problem.
Gemäß BSI IT-Grundschutz (ORP.4), NIST SP 800-63B und der NIS2-Richtlinie müssen Passwörter für privilegierte Konten regelmäßig gewechselt werden. In der Praxis scheitert die manuelle Rotation regelmäßig – an fehlendem Inventar, vergessenen Terminen und fehlender Dokumentation.
⚠️ Typische Risiken: Pass-the-Hash-Angriffe, Lateral Movement nach einem Kompromittierungsvorfall, fehlende Nachweisbarkeit bei Compliance-Audits und Datenschutzverstöße durch nicht dokumentierte Zugriffsänderungen.
Der ISW AD Password Rotator löst dieses Problem vollautomatisch – mit konfigurierbarem Intervall, lückenlosem Audit-Log und direkter Benachrichtigung der Kontoinhaber.
Kernfunktionen im Überblick
⚙️
Automatische Rotation
Intervall in Tagen oder Monaten, basierend auf dem AD-Attribut pwdLastSet. Einzel-Benutzer und AD-Gruppen werden unterstützt.
🔑
Passwort-Policy
Länge, Zeichenklassen, Mindest-/Maximalanzahl und Positionsregeln vollständig konfigurierbar. Vorschau-Generator integriert.
📧
Benachrichtigungen
Bis zu 3 Vorab-Warnmails plus Bestätigungsmail mit neuem Passwort. Admins erhalten Info-Mail ohne Passwort.
⏱️
Scheduled Task
Vollständige Windows Task Scheduler-Integration mit gMSA-Unterstützung. Läuft lautlos im Hintergrund.
📋
Audit-Log & Berichte
Lückenlose Protokollierung aller Aktionen. PDF- und HTML-Berichte auf Knopfdruck, DSGVO-konforme automatische Bereinigung.
🗄️
SQLite oder SQL Server
SQLite für Einzelinstallationen, SQL Server für zentrale Unternehmensumgebungen mit gMSA-Windows-Authentifizierung.
gMSA-Integration: Passwortlose Automation
Der ISW AD Password Rotator wurde speziell für den Einsatz mit Group Managed Service Accounts (gMSA) entwickelt. Ein gMSA-Konto verwaltet sein Passwort automatisch über Active Directory – kein Administrator kennt oder pflegt das Passwort.
💡 Warum gMSA? Active Directory rotiert das gMSA-Passwort automatisch alle 30 Tage. Der Scheduled Task läuft unter diesem Konto – das Ergebnis ist eine vollständig passwortlose, automatisierte und revisionssichere Rotation.
Vollständige Berechtigungsübersicht für gMSA + SQL Server:
| Berechtigung | Wo einrichten | Warum nötig |
|---|---|---|
| AD: Kennwort zurücksetzen | Active Directory – OU/Konto | Passwörter der Zielkonten setzen |
| Lokaler Administrator | Ausführungsrechner | Tool erfordert Admin-Rechte beim Start |
| SQL Server Login | SSMS auf SQL Server | Datenbankzugriff im Scheduled Task |
| db_owner auf ISW_AdPasswordRotator | SSMS auf SQL Server | Lesen und Schreiben der Applikationsdaten |
⚠️ Häufiger Fehler: Den gMSA-Kontonamen niemals in das SQL-Benutzer-Feld eintragen. Das Tool verbindet sich bei Windows-Authentifizierung automatisch als der laufende Prozess. Das gMSA gehört ausschließlich unter Zeitplan → Ausführen als. Ein falsch eingetragener gMSA führt zu „Login failed for user” beim Programmstart – obwohl das Tool im GUI-Modus einwandfrei läuft.
Datenbankarchitektur: SQLite oder SQL Server
🗂️ SQLite (lokal)
✔ Keine weitere Software erforderlich
✔ Datenbankdatei lokal auf dem Rechner
✔ Sofort einsatzbereit
✔ Ideal für Einzelinstallationen
✘ Keine zentrale Datenhaltung
✔ Datenbankdatei lokal auf dem Rechner
✔ Sofort einsatzbereit
✔ Ideal für Einzelinstallationen
✘ Keine zentrale Datenhaltung
🖥️ SQL Server (zentral)
✔ Zentrale Datenhaltung für mehrere Instanzen
✔ Windows-Authentifizierung (gMSA-kompatibel)
✔ Datenbank wird automatisch angelegt
✔ Nur connection.json lokal nötig
✔ Hohe Ausfallsicherheit
✔ Windows-Authentifizierung (gMSA-kompatibel)
✔ Datenbank wird automatisch angelegt
✔ Nur connection.json lokal nötig
✔ Hohe Ausfallsicherheit
Architekturprinzip bei SQL Server: Eine kleine
connection.json enthält nur den Verbindungsweg. Alle Einstellungen, Audit-Logs und Rotationsdaten liegen im SQL Server. Bei versehentlichem Löschen der JSON-Datei bleiben alle Daten erhalten – die Verbindungsparameter müssen nur neu eingetragen werden.SQL Server Einrichtung in 3 Schritten:
1
Login für beide Konten anlegen (in SSMS)
Windows-Benutzer (GUI-Betrieb) und gMSA-Konto (Scheduled Task) benötigen je einen SQL Server Login mit der Rolle
dbcreator für die initiale Datenbankerstellung.2
Tool starten – Datenbank wird automatisch angelegt
Das Tool erkennt beim ersten Start dass die Datenbank nicht existiert und legt sie vollständig automatisch an. Kein manuelles SQL-Skript erforderlich.
3
Minimale Rechte setzen
Nach dem ersten Start:
dbcreator-Rolle entziehen, stattdessen nur db_owner auf der eigenen Datenbank. Das Tool benötigt keine Server-weiten Rechte im Betrieb.— Schritt 1: Logins anlegen (beide Konten!)
CREATE LOGIN [DOMAIN\gmsa-Konto$] FROM WINDOWS;
ALTER SERVER ROLE dbcreator ADD MEMBER [DOMAIN\gmsa-Konto$];
CREATE LOGIN [DOMAIN\IhrBenutzer] FROM WINDOWS;
ALTER SERVER ROLE dbcreator ADD MEMBER [DOMAIN\IhrBenutzer];– Schritt 3: Minimale Rechte nach erstem Start
ALTER SERVER ROLE dbcreator DROP MEMBER [DOMAIN\gmsa-Konto$];
ALTER SERVER ROLE dbcreator DROP MEMBER [DOMAIN\IhrBenutzer];
USE ISW_AdPasswordRotator;
CREATE USER [DOMAIN\gmsa-Konto$] FOR LOGIN [DOMAIN\gmsa-Konto$];
ALTER ROLE db_owner ADD MEMBER [DOMAIN\gmsa-Konto$];
CREATE USER [DOMAIN\IhrBenutzer] FOR LOGIN [DOMAIN\IhrBenutzer];
ALTER ROLE db_owner ADD MEMBER [DOMAIN\IhrBenutzer];
CREATE LOGIN [DOMAIN\gmsa-Konto$] FROM WINDOWS;
ALTER SERVER ROLE dbcreator ADD MEMBER [DOMAIN\gmsa-Konto$];
CREATE LOGIN [DOMAIN\IhrBenutzer] FROM WINDOWS;
ALTER SERVER ROLE dbcreator ADD MEMBER [DOMAIN\IhrBenutzer];– Schritt 3: Minimale Rechte nach erstem Start
ALTER SERVER ROLE dbcreator DROP MEMBER [DOMAIN\gmsa-Konto$];
ALTER SERVER ROLE dbcreator DROP MEMBER [DOMAIN\IhrBenutzer];
USE ISW_AdPasswordRotator;
CREATE USER [DOMAIN\gmsa-Konto$] FOR LOGIN [DOMAIN\gmsa-Konto$];
ALTER ROLE db_owner ADD MEMBER [DOMAIN\gmsa-Konto$];
CREATE USER [DOMAIN\IhrBenutzer] FOR LOGIN [DOMAIN\IhrBenutzer];
ALTER ROLE db_owner ADD MEMBER [DOMAIN\IhrBenutzer];
Rotationsablauf im automatischen Betrieb
| # | Schritt | Details |
|---|---|---|
| 1 | Admin-Check | Prüfung der Administratorrechte (Exit-Code 2 bei Fehler) |
| 2 | Datenbankverbindung | connection.json → SQL Server verbinden, Einstellungen laden |
| 3 | Fälligkeitsprüfung | pwdLastSet aus AD lesen, Rotationsintervall berechnen |
| 4 | Passwort generieren | Gemäß konfigurierter Policy (Länge, Zeichenklassen, Positionsregeln) |
| 5 | AD-Passwort setzen | Via PowerShell-Modul ActiveDirectory (RSAT) |
| 6 | Bestätigungsmail | Neues Passwort an Empfänger, Info-Mail an Admins (ohne Passwort) |
| 7 | Warnmails | Vorab-Erinnerungen für bald fällige Konten (bis zu 3 Runden) |
| 8 | Audit-Log | Alle Aktionen lückenlos in der Datenbank protokolliert |
| 9 | DSGVO-Bereinigung | Alte Berichte automatisch nach konfigurierter Aufbewahrungsfrist gelöscht |
✅ DryRun-Modus verfügbar: Mit dem Argument
--dryrun läuft der komplette Prozess als Simulation – kein Passwort wird geändert, keine Mail gesendet. Ideal zur Überprüfung der Konfiguration vor dem ersten Produktiveinsatz.DSGVO-Konformität
| Aspekt | Umsetzung |
|---|---|
| Passwort-Speicherung | Niemals im Klartext – nur SHA-256-Hash in der Datenbank |
| SMTP-Passwort | AES-256 verschlüsselt, maschinengebundener Schlüssel |
| Passwort-Übertragung | Nur an direkte Kontoinhaber – nie an globale Admins im Klartext |
| Datensparsamkeit | Automatische Bereinigung von Berichten (1–12 Monate konfigurierbar) |
| Audit-Nachweis | Lückenlose Protokollierung aller Aktionen mit Zeitstempel und Benutzer |
Systemvoraussetzungen
| Komponente | Anforderung |
|---|---|
| Betriebssystem | Windows 10/11 oder Windows Server 2019 / 2022 / 2025 |
| .NET Runtime | .NET 10 Windows Desktop Runtime |
| Active Directory | RSAT – Active Directory PowerShell-Modul |
| Berechtigungen | Lokale Administratorrechte beim Start |
| AD-Berechtigung | „Kennwort zurücksetzen” auf den Zielkonten |
| SQL Server (optional) | SQL Server 2019 / 2022 für zentrale Installation |
ISW AD Password Rotator jetzt einsetzen
Automatisieren Sie die Passwortrotation in Ihrem Unternehmen – DSGVO-konform, revisionssicher und vollständig integriert in Ihre Windows-Infrastruktur.