Come posso ripristinare in blocco le password per tutti gli utenti in un'unità organizzativa?

14

Sono uno sviluppatore della mia organizzazione, ma mi è stato assegnato il compito di reimpostare le password su 10k utenti di posta elettronica in un'unità organizzativa in Active Directory. Mi sono state fornite le autorizzazioni appropriate, quindi ho inviato il seguente articolo TechNet , ma non sono sicuro di dove eseguirò questo o di come funzioni esattamente. Mi scuso se questa domanda è troppo vaga, ma non ero sicuro di dove altro avrei potuto chiedere (chiederei un amministratore di sistema alla mia organizzazione, ma ci vorrebbe un po 'di risposta). Qualcuno potrebbe darmi una carrellata di cosa fa esattamente questo cmdlet e come farei per eseguirlo?

active-directory 
Christopher Garcia
fonte
3
Tutte la stessa password o richiedono tutte password diverse? Come sicuramente saprai, 10k utenti con la stessa password non sono la migliore idea al mondo ...
Ben Pilbrow,
Tutta la stessa password. Funziona solo nel nostro scenario, capiamo come suona all'indietro e gli utenti cambieranno la password al prossimo accesso.
Christopher Garcia,

Risposte:

28

Molto più facile di così. Installa gli Strumenti di amministrazione remota del server (a seconda del tuo sistema operativo della workstation) in modo da ottenere gli strumenti di Servizi di dominio Active Directory. Non dimenticare di accedere alle funzionalità di Windows nel Pannello di controllo per abilitare i set di strumenti corretti.

Una volta fatto ciò, il seguente comando otterrà il risultato desiderato:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Sostituisci "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" con il nome distinto dell'unità organizzativa contenente gli utenti da modificare

Izzy
fonte
Lo farei nel modulo di Active Directory per PowerShell?
Christopher Garcia,
2
La soluzione di izzy funziona dalla normale shell dei comandi di cmd.exe :)
cheeseprocedure,
Ho eseguito il comando, sostituendo la stringa come indicato "OU = Users, OU = Users esterni, DN = ourdomain, DN = org", ma viene visualizzato il seguente errore: "dsquery non riuscito: non è stato configurato alcun riferimento superiore per il servizio directory ".
Christopher Garcia,
Non importa, leggi in giro e apparentemente invece di DN avrei dovuto usare DC. Non so perché, se qualcuno potesse spiegare, te ne sarei grato. Grazie per il vostro aiuto a tutti. :)
Christopher Garcia,
1
DN sta per "Distinguished name" ed è un modo per identificare in modo univoco qualsiasi oggetto nella struttura di directory. DC sta per "Componente di dominio", OU per unità organizzativa e CN per nome comune. Un DN è composto da parti DC, OU e CN. Se il tuo dominio è corp.acme-widgets.local e Joe Bloggs si trova in un'unità organizzativa denominata Sales che si trova in un'unità organizzativa denominata Users, il DN di Joe Bloggs sarebbeCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow,
5

Voglio solo buttarlo fuori e dire che è un'idea orribile. Se è necessario modificare le password utente 10K, un ripristino in blocco non dovrebbe far parte del processo. Nella migliore delle ipotesi, forzare semplicemente una modifica la prossima volta che un utente accede impedirebbe la gigantesca falla di sicurezza che si sta aprendo.

DanBig
fonte
Dovrebbe essere una risposta Wiki della community
Izzy,
Il ripristino di massa non è necessariamente una pessima idea, se si utilizzano password univoche, ad esempio reimpostare le password su numeri di previdenza sociale o altre informazioni private note alla società. Tuttavia, sono d'accordo che il ripristino di 10k di account con la stessa password sia un'idea TERRIBILE. Non capisco come forzare una modifica della password compia la stessa cosa, a meno che l'account non sia bloccato dal controllo della posta fino a quando la password non viene cambiata.
JamesBarnett,
Nel nostro caso, stiamo eseguendo un ripristino totale, con la stessa password per tutti gli utenti (non lo sanno) perché abbiamo appreso che le persone utilizzano account di altre persone. Quindi quando la loro password non funziona, chiameranno e quindi verificheremo chi sono ...
Ganders,
4

Ecco una variante di PowerShell da aggiungere al mix. Eseguilo dai moduli di Active Directory per Windows Powershell. Si noti che la password deve soddisfare tutti i requisiti (lunghezza, complessità ecc.) Specificati dalla politica del dominio.

Le cose che devi cambiare in questo sono il -SearchBaseparametro e il -NewPasswordparametro.

Utilizzare Import-Module ActiveDirectoryper aggiungere i moduli di Active Directory in PowerShell predefinito.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Per vedere quali utenti avranno effetto prima di eseguire il comando sopra, emetti questo comando per fornirti un elenco di account interessati.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
fonte
0

Penso che il ripristino di massa di passoword 10k non sia una buona idea. Semplicemente possiamo scegliere l'opzione "modifica al prossimo accesso" Ci assicurerà che non stiamo infrangendo alcuna politica o processo di sicurezza delle informazioni. GN

user475814
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.