AD Password Rotator

Automatische, BSI-konforme Rotation von Active-Directory-Passwörtern für Service-Accounts und privilegierte Benutzer inkl. Passwort-Splitting (4 Augen) – mit vollständigem Audit-Log, SQL Server-Unterstützung und gMSA-Integration.

Zielgruppe: Technische Benutzer

Der ISW AD Password Rotator richtet sich an IT-Administratoren und Systemverantwortliche, die:

  • Windows Server 2019/2022/2025 mit Active Directory betreiben
  • Service-Accounts, privilegierte Konten und Benutzer zentral verwalten
  • Compliance-Anforderungen (DSGVO, BSI, ISO 27001, NIS2) erfüllen müssen
  • einen automatisierten, revisionssicheren Rotationsprozess benötigen
  • ohne aufwendige PAM-Lösungen (CyberArk, BeyondTrust) auskommen möchten

Lizenzierung

Gute Software muss nicht teuer sein.

Einmalig 149,00 € (inkl. 19% MwSt.)

  • Standortlizenz ohne Benutzerbegrenzung
  • Keine Folgekosten, keine Abonnements
  • Kostenlose Updates innerhalb der Hauptversion

Produktinformation AD Password Rotator

FREE DOWNLOAD

Send download link to:

Ich bestätige, die Datenschutzerklärung gelesen zu haben.

„Automatisch rotiert. Lückenlos protokolliert.”

AD Password Rotator Dashboard

In den meisten Windows-Domänen existieren zahlreiche Konten, deren Passwörter über Monate oder sogar Jahre unverändert bleiben: Service-Accounts, SQL-Dienst-Konten, Backup-Agenten, Monitoring-Konten und privilegierte Benutzerkonten. Diese statischen Passwörter stellen ein ernstes Sicherheitsrisiko dar.

Gemäß BSI IT-Grundschutz (ORP.4), NIST SP 800-63B und den Anforderungen der NIS2-Richtlinie müssen Passwörter für privilegierte Konten regelmäßig gewechselt werden – insbesondere dann, wenn:

  • ein Mitarbeiter das Unternehmen verlässt und Zugang zu Dienstpasswörtern hatte
  • ein Sicherheitsvorfall vermutet wird
  • ein Compliance-Audit die regelmäßige Rotation vorschreibt
  • Passwörter über unsichere Kanäle (Tickets, Teams) kommuniziert wurden

Rotation – Intervall und Ablauf

Onpremises Active Directory Password Rotation

Die Fälligkeit wird relativ zum Attribut pwdLastSet des AD-Kontos berechnet – nicht relativ zur letzten Rotation durch das Tool. Dies stellt sicher dass auch manuell geänderte Passwörter korrekt berücksichtigt werden.

AD Password Rotator

Rotationsablauf (CLI/Task Scheduler)

  • Admin-Check: Administratorrechte werden geprüft
  • Datenbankinitialisierung und Verbindungsaufbau
  • Alle aktiven Ziele laden, Fälligkeit per pwdLastSet prüfen
  • Fällige Konten: neues Passwort generieren, per PowerShell-Modul im AD setzen
  • Bestätigungsmail mit neuem Passwort an Empfänger senden
  • Passwor-Splitting ist ebenfalls möglich. 4-Augen-Prinzip

Rotationsablauf

  • Vorab-Warnmails für bald fällige Konten prüfen und senden
  • Alle Aktionen in Audit-Log schreiben
  • DSGVO-Bereinigung: alte Berichte gemäß Aufbewahrungsfrist löschen
  • Prozess beendet mit Exit-Code 0 (Erfolg) oder 1 (Fehler)

Vorab-Warnmails für bald fällige Konten

Sicherheitsfunktion: Passwort-Split (4-Augen-Prinzip)

Bei der automatischen Passwortrotation entsteht ein sensibler Moment: Das neue Passwort wird generiert und per E-Mail zugestellt. Wer diese E-Mail empfängt, kennt das vollständige Passwort. Für hochprivilegierte Konten – etwa Domain-Admin-Konten, Service-Accounts mit weitreichenden Rechten oder Zugang zu kritischen Systemen – ist das möglicherweise nicht ausreichend.

Passwort-Split

Passwort-Policy

Passwortlänge

Einstellbar von 8 bis 128 Zeichen. Für Service-Accounts empfiehlt das BSI mindestens 20 Zeichen, da diese Konten in der Regel nicht manuell getippt werden müssen.

Passwort-Policy

 Audit-Log, Berichte und DSGVO

Alle Aktionen werden lückenlos in der Datenbank protokolliert:

Kategorie Beispiele
PasswordRotation Passwort geändert, übersprungen, Fehler
Settings Konfiguration gespeichert
Target Zielkonto hinzugefügt oder entfernt
Notification E-Mail gesendet, SMTP-Fehler
Report PDF oder HTML erstellt, Bereinigung
Scheduler Task angelegt oder gelöscht
General Sonstige Systemereignisse

Berichte

Drei Berichtstypen stehen zur Verfügung, jeweils als PDF (mit klickbarem Link zu isw-adtools.de) und HTML:

  • Rotationsbericht: Alle Passwortänderungen in einem Zeitraum
  • Audit-Bericht: Vollständiges Aktionsprotokoll
  • Benutzer-Verlauf: Individuelle Historie für ein Konto (nur PDF)

DSGVO-konforme Bereinigung

PDF- und HTML-Berichte werden nach der konfigurierten Aufbewahrungsdauer automatisch gelöscht. Einstellbar von 1 bis 12 Monaten (Standard: 6 Monate). Die Bereinigung läuft automatisch bei:

  • Jedem Programmstart (GUI-Modus)
  • Nach jeder automatischen Rotation (CLI/Scheduled Task)

Gelöschte Berichte können nicht wiederhergestellt werden. Audit-Log und Rotationshistorie in der Datenbank bleiben unberührt – nur die generierten Dateien werden gelöscht.

Datensparsamkeit gemäß Art. 5 Abs. 1 lit. e DSGVO: Personenbezogene Daten dürfen nur solange gespeichert werden wie für den Zweck erforderlich. Die konfigurierbare Aufbewahrungsdauer trägt dieser Anforderung Rechnung.

AD Password Rotator – „Kein Passwort bleibt ewig. Ihr AD schon.”

Teil der ISW-Tools Suite von IT-Service Walter

© 2026 IT-Service Walter | Alle Rechte vorbehalten