Bir kuruluş birimindeki tüm kullanıcılar için şifreleri toplu olarak nasıl sıfırlarım?

14

Kuruluşumun geliştiricisiyim, ancak Active Directory'deki bir kuruluş birimindeki 10 bin e-posta kullanıcısında şifreleri sıfırlamakla görevlendirildim. Uygun izinleri aldım, sonra aşağıdaki TechNet makalesini gönderdim , ancak bunu nerede çalıştıracağımdan veya tam olarak nasıl çalıştığından emin değilim. Bu sorunun çok belirsiz olup olmadığı için özür dilerim, ancak başka nerede sorabileceğimden emin değildim (kuruluşumda bir sistem yöneticisine sorardım, ancak yanıt için biraz zaman alacaktı). Birisi bana bu cmdlet'in tam olarak ne yaptığını ve bunu nasıl yürüteceğimi özetleyebilir mi?

active-directory 
Christopher Garcia
kaynak
3
Aynı parola mı yoksa farklı parolalar mı gerekiyor? Eminim aynı şifreye sahip 10 bin kullanıcı, dünyanın en iyi fikri değildir ...
Ben Pilbrow
Hepsi aynı şifre. Sadece senaryomuzda çalışıyor, bunun nasıl geri geldiğini anlıyoruz ve kullanıcılar bir sonraki oturum açışında şifreyi değiştirecekler.
Christopher Garcia

Yanıtlar:

28

Bundan çok daha kolay. AD DS araçlarını almak için (iş istasyonu işletim sisteminizin zevkine bağlı olarak) Uzak Sunucu Yönetim Araçları'nı yükleyin . Doğru araç setlerini etkinleştirmek için Denetim Masası'ndaki Windows Özelliklerine girmeyi unutmayın.

Bunu yaptıktan sonra, aşağıdaki komut istediğiniz sonuca ulaşacaktır:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" yerine, değiştirilecek kullanıcıları içeren OU'nun ayırt ediciAdı ile değiştirin

lzzy
kaynak
Bunu PowerShell için Active Directory Modülünde yapabilir miyim?
Christopher Garcia
2
izzy'nin çözümü normal ol 'cmd.exe komut kabuğundan çalışır :)
cheeseprocedure
"OU = Kullanıcılar, OU = Dış Kullanıcılar, DN = etki alanımız, DN = org" olarak belirtilen dizeyi değiştirerek komutu çalıştırdım, ancak aşağıdaki hatayı alıyorum: "dsquery başarısız oldu: Dizin hizmeti için üstün başvuru yapılandırılmadı ."
Christopher Garcia
Boşver, okumaya devam et ve görünüşe göre DN I yerine DC kullanması gerekiyordu. Neden olduğundan emin değilim, eğer biri açıklayabilirse minnettar olurum. Herkese yardımın için teşekkürler. :)
Christopher Garcia
1
DN, "Ayırt edici ad" anlamına gelir ve dizin ağacındaki herhangi bir nesneyi benzersiz bir şekilde tanımlamanın bir yoludur. DC, "Alan Adı Bileşeni", Kuruluş Birimi için OU ve Ortak Ad için CN anlamına gelir. DN, DC, OU ve CN parçalarından oluşur. Alan adınız corp.acme-widgets.local ise ve Joe Bloggs, Users adlı bir OU'da Sales adında bir OU'daysa, Joe Bloggs 'DN olurCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow
5

Sadece bunu dışarı atmak ve bunun korkunç bir fikir olduğunu söylemek istiyorum. 10K kullanıcı şifrelerini değiştirme ihtiyacı varsa, toplu sıfırlama işlemin bir parçası olmamalıdır. En iyi ihtimalle, kullanıcının bir sonraki oturum açışında bir değişikliği zorlamak açtığınız devasa güvenlik deliğini önler.

DanBig
kaynak
Topluluk Wiki yanıtı olmalı
Izzy
Benzersiz şifreler kullanıyorsanız, örneğin şifreleri sosyal güvenlik numaralarına veya şirket tarafından bilinen başka bir özel bilgi parçasına sıfırlamak istiyorsanız, toplu sıfırlama mutlaka korkunç bir fikir değildir. Ancak 10k hesabın aynı şifreye sıfırlanması KORKUNÇ bir fikirdir. Hesabın parola değiştirilene kadar postaları kontrol etmesine izin verilmedikçe, parola değişikliğini zorlamanın nasıl aynı şeyi başardığını anlamıyorum.
JamesBarnett
Bizim durumumuz için, tüm kullanıcılar için aynı şifreye toplu bir sıfırlama yapıyoruz (bilmiyorlar) çünkü insanların başkalarının hesaplarını kullandığını öğrendik. Yani şifreleri çalışmadığında, arayacaklar ve sonra kim olduklarını doğrulayacağız ...
ganders
4

Karışıma eklemek için bir PowerShell varyantı. Bunu Windows Powershell için Active Directory Modüllerinden çalıştırın. Parolanın alan adı politikası tarafından belirtilen gereksinimleri (uzunluk, karmaşıklık vb.) Karşılaması gerektiğini unutmayın.

Bu konuda değiştirmeniz gereken şeyler -SearchBaseparametre ve -NewPasswordparametredir.

Import-Module ActiveDirectoryActive Directory Modüllerini varsayılan PowerShell'e eklemek için kullanın .

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Yukarıdaki komutu çalıştırmadan önce bunun hangi kullanıcıları etkileyeceğini görmek için, etkilenen hesapların bir listesini vermek üzere bu komutu verin.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
kaynak
0

Ben 10k passowords toplu sıfırlama iyi bir fikir olmadığını düşünüyorum. Sadece "bir sonraki oturum açışında değiştir" seçeneğini seçebiliriz. Herhangi bir Bilgi Güvenliği politikasını veya sürecini ihlal etmememizi sağlar. GN

user475814
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.