Як я можу масово скинути паролі для всіх користувачів в ОУ?

14

Я розробник в своїй організації, але мені було доручено скинути паролі для користувачів 10-метрів електронної пошти в ОУ в Active Directory. Мені дали належні дозволи, потім надіслали наступну статтю TechNet , але я не впевнений, де б це запустити чи як саме воно працює. Прошу вибачення, якщо це питання занадто розпливчасте, але я не був впевнений, де ще можу запитати (я би попросив систематика в моїй організації, але для отримання відповіді знадобиться певний час). Чи міг би хтось мені дозволити провести те, що саме робить цей командлет і як би я пішов виконувати це?

active-directory

— Крістофер Гарсія
джерело

3

Все той же пароль, чи всі вони вимагають різних паролів? Як я впевнений, ви знаєте, що 10k користувачів з тим самим паролем - не найкраща ідея в світі ...

— Ben Pilbrow

Все той же пароль. Це просто відбувається в нашому сценарії, ми розуміємо, як це звучить назад, і користувачі змінять пароль при наступному вході.

— Крістофер Гарсія

28

Набагато простіше цього. Встановіть інструменти віддаленого адміністрування сервера (залежно від смаку вашої ОС робочої станції), щоб отримати інструменти AD DS. Не забудьте зайти до своїх функцій Windows на панелі керування, щоб увімкнути правильні набори інструментів.

Після цього наступна команда досягне бажаного результату:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Замініть "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" на відоме ім'я OU, що містить користувачів, які потрібно змінити

— Іззі
джерело

Чи потрібно це зробити в модулі Active Directory для PowerShell?

— Крістофер Гарсія

2

Рішення izzy працює із звичайної командної оболонки ol 'cmd.exe :)

— cheeseprocedure

Я запустив команду, замінивши рядок, як зазначено "OU = Користувачі, OU = Зовнішні користувачі, DN = нашдомен, DN = org", але я отримую таку помилку: "dsquery error: Немає вищої посилання для служби каталогів. . "

— Крістофер Гарсія

Не забудьте, читайте навколо і, мабуть, замість DN я повинен був використовувати DC. Не знаю чому, якщо хтось міг би пояснити, я буду вдячний. Дякую за допомогу усім. :)

— Крістофер Гарсія

1

DN означає "Розрізнене ім'я" і є способом однозначної ідентифікації будь-якого об'єкта в дереві каталогів. DC означає «Доменний компонент», OU для організаційного підрозділу та CN для загальної назви. DN складається з частин постійного струму, OU та CN. Якщо ваш домен corp.acme-widgets.local, а Джо Блоггс знаходиться в ОУ під назвою Продаж, який знаходиться в ОУ, який називається Користувачами, DN Joe Bloggs 'будеCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local

— Ben Pilbrow

5

Я просто хочу це викинути і сказати, що це жахлива ідея. Якщо є необхідність зміни паролів користувача 10K, масове скидання не повинно бути частиною процесу. У кращому випадку, просто примушуючи зміни наступного разу, коли користувач увійде в систему, це запобіжить гігантському отвору в безпеці, який ви відкриваєте.

— DanBig
джерело

Має бути відповідь Вікі спільноти

— Іззи

Масове скидання не обов'язково є страшною ідеєю, якщо ви використовуєте унікальні паролі, тобто скидання паролів на номери соціального страхування або якусь іншу приватну інформацію, відому компанії. Однак я погоджуюсь, що скидання 10k акаунтів на той самий пароль - це ГРОМНА ідея. Я не розумію, як змусити зміни пароля здійснити те саме, якщо обліковий запис не заблоковано від перевірки пошти, поки пароль не буде змінено.

— ДжеймсБарнетт

У нашому випадку ми робимо групове скидання з однаковим паролем для всіх користувачів (вони цього не знають), оскільки ми дізналися, що люди використовують акаунти інших людей. Тому , коли їх пароль не працює, вони збираються заїхати, а потім ми перевіримо , хто вони ...

— гусей

4

Ось варіант PowerShell, який потрібно додати до суміші. Запустіть це з модулів Active Directory для Windows Powershell. Зауважте, що пароль повинен відповідати будь-яким вимогам (довжині, складності тощо), визначеним політикою домену.

У цьому вам потрібно змінити -SearchBaseпараметр і -NewPasswordпараметр.

Використовуйте Import-Module ActiveDirectoryдля додавання модулів Active Directory до PowerShell за замовчуванням.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Щоб побачити, на що це вплине, перш ніж запустити команду вище, видайте цю команду, щоб надати вам список облікових записів.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

— Бен Пілброу
джерело

0

Я думаю, що масове скидання 10-класових мовних пасажирів - це не дуже гарна ідея. Просто ми можемо вибрати варіант "змінити при наступному вході". Це гарантуватиме, що ми не порушуємо жодної політики або процесу інформаційної безпеки. GN

— user475814
джерело