Как выполнить массовый сброс паролей для всех пользователей в подразделении?

14

Я являюсь разработчиком в своей организации, но мне было поручено сбросить пароли для пользователей электронной почты 10 КБ в подразделении в Active Directory. Мне дали соответствующие разрешения, затем я отправил следующую статью в TechNet , но я не уверен, где я запустил это или как именно он работает. Я извиняюсь, если этот вопрос слишком расплывчатый, но я не был уверен, где еще я мог бы спросить (я бы попросил сисадмина в моей организации, но для ответа потребовалось бы некоторое время). Может ли кто-нибудь дать мне краткое изложение того, что именно делает этот командлет и как я могу выполнить это?

Кристофер Гарсия
источник
3
Все одинаковые пароли, или все они требуют разных паролей? Я уверен, что вы знаете, что 10 тысяч пользователей с одним и тем же паролем не самая лучшая идея в мире ...
Бен Пилброу,
Все тот же пароль. Это просто работает в нашем сценарии, мы понимаем, как это звучит в обратном направлении, и пользователи будут менять пароль при следующем входе в систему.
Кристофер Гарсия

Ответы:

28

Гораздо проще, чем это. Установите (в зависимости от вашего вида ОС вашей рабочей станции) средства удаленного администрирования сервера, чтобы получить инструменты AD DS. Не забудьте зайти в свои функции Windows на панели управления, чтобы включить правильные наборы инструментов.

Как только вы это сделаете, следующая команда достигнет желаемого результата:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Замените "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" на отличительное имя OU, содержащее пользователей, подлежащих изменению

Иззи
источник
Буду ли я делать это в модуле Active Directory для PowerShell?
Кристофер Гарсия
2
Решение izzy работает из обычной командной оболочки ol 'cmd.exe :)
cheeseprocedure
Я запустил команду, заменив строку, как указано «OU = Пользователи, OU = Внешние пользователи, DN = наш домен, DN = org», но я получаю следующую ошибку: «Ошибка dsquery: для службы каталогов не настроена улучшенная ссылка «.
Кристофер Гарсия
Неважно, читай и, видимо, вместо DN я должен был использовать DC. Не уверен, почему, если кто-нибудь может объяснить, я был бы благодарен. Спасибо за вашу помощь всем. :)
Кристофер Гарсия
1
DN означает «Отличительное имя» и является способом уникальной идентификации любого объекта в дереве каталогов. DC обозначает «Компонент домена», OU для организационной единицы и CN для общего имени. DN состоит из частей DC, OU и CN. Если ваш домен corp.acme-widgets.local и Joe Bloggs находится в подразделении под названием Sales, а в подразделении под названием Users, DN Джо Блоггса будетCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow
5

Я просто хочу выбросить это и сказать, что это ужасная идея. Если возникает необходимость изменить пароли пользователя 10K, массовый сброс не должен быть частью процесса. В лучшем случае простое принудительное изменение в следующий раз, когда пользователь входит в систему, предотвратит гигантскую дыру в безопасности, которую вы открываете.

DanBig
источник
Должен быть ответ Wiki сообщества
Иззи
Массовый сброс не обязательно является ужасной идеей, если вы используете уникальные пароли, то есть сброс паролей к номерам социального страхования или другой частной информации, известной компании. Однако я согласен, что сброс 10 тыс. Учетных записей к одному и тому же паролю - ужасная идея. Я не понимаю, как принудительное изменение пароля выполняет то же самое, если только учетная запись не заблокирована для проверки почты, пока пароль не будет изменен.
Джеймс Барнетт
В нашем случае мы выполняем массовый сброс на один и тот же пароль для всех пользователей (они этого не знают), потому что мы узнали, что люди используют учетные записи других людей. Поэтому, когда их пароль не работает, они собираются позвонить, и тогда мы
проверим,
4

Вот вариант PowerShell для добавления в смесь. Запустите это из модулей Active Directory для Windows Powershell. Обратите внимание, что пароль должен соответствовать любым требованиям (длина, сложность и т. Д.), Указанным в политике домена.

Вещи, которые вам нужно изменить, это -SearchBaseпараметр и -NewPasswordпараметр.

Используйте Import-Module ActiveDirectoryдля добавления модулей Active Directory в PowerShell по умолчанию.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Чтобы увидеть, на каких пользователей это повлияет, прежде чем вы запустите указанную выше команду, введите эту команду, чтобы получить список затронутых учетных записей.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Бен Пилброу
источник
0

Я думаю, что массовый сброс 10k passowords не очень хорошая идея. Просто мы можем выбрать опцию «изменить при следующем входе в систему». Это гарантирует, что мы не нарушаем какую-либо политику или процесс информационной безопасности. Г.Н.

user475814
источник