ฉันจะรีเซ็ตรหัสผ่านเป็นกลุ่มสำหรับผู้ใช้ทั้งหมดใน OU ได้อย่างไร

14

ฉันเป็นนักพัฒนาที่องค์กรของฉัน แต่ฉันได้รับมอบหมายให้รีเซ็ตรหัสผ่านสำหรับผู้ใช้อีเมล 10k ใน OU ใน Active Directory ฉันได้รับการอนุญาตที่เหมาะสมจากนั้นส่งบทความ TechNetต่อไปนี้แต่ฉันไม่แน่ใจว่าจะใช้งานที่ใดหรือทำงานได้อย่างไร ฉันขอโทษถ้าคำถามนี้คลุมเครือเกินไป แต่ฉันไม่แน่ใจว่าฉันจะถามคำถามอื่นได้ที่ไหน (ฉันจะขอดูแลระบบที่องค์กรของฉัน ใครสามารถให้บทสรุปสิ่งที่ cmdlet นี้ทำกับฉันได้และฉันจะดำเนินเรื่องนี้อย่างไร

active-directory

— คริสโตเฟอร์การ์เซีย
แหล่งที่มา

3

รหัสผ่านเดียวกันทั้งหมดหรือทั้งหมดนั้นต้องการรหัสผ่านที่แตกต่างกันใช่หรือไม่ เป็นฉันแน่ใจว่าคุณทราบ, 10k ผู้ใช้ที่มีรหัสผ่านเดียวกันไม่ได้เป็นความคิดที่ยิ่งใหญ่ที่สุดในโลก ...

— เบน Pilbrow

รหัสผ่านเดียวกันทั้งหมด มันเกิดขึ้นกับการทำงานในสถานการณ์ของเราเราเข้าใจว่าเสียงนี้ย้อนหลังอย่างไรและผู้ใช้จะเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งต่อไป

— Christopher Garcia

28

ง่ายกว่านั้นอีกมาก ติดตั้ง (ขึ้นอยู่กับรสนิยมของเวิร์กสเตชันระบบปฏิบัติการของคุณ)เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลเพื่อให้คุณได้รับเครื่องมือ AD DS อย่าลืมเข้าไปที่ฟีเจอร์ Windows ของคุณใน 'แผงควบคุม' เพื่อเปิดใช้งานชุดเครื่องมือที่ถูกต้อง

เมื่อคุณทำเสร็จแล้วคำสั่งต่อไปนี้จะบรรลุผลลัพธ์ที่คุณต้องการ:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ แทนที่"OU = myOU, OU = myUsers, DC = myDomain, DC = loc"ด้วย distinguishedName ของ OU ที่มีผู้ใช้ที่จะเปลี่ยน

— อิซซี่
แหล่งที่มา

ฉันจะทำสิ่งนี้ในโมดูล Active Directory สำหรับ PowerShell หรือไม่

— Christopher Garcia

2

วิธีการแก้ปัญหาของ izzy ทำงานจากเชลล์คำสั่ง ol 'cmd.exe ปกติ :)

— cheeseprocedure

ฉันรันคำสั่งแทนที่สตริงตามที่ระบุ "OU = ผู้ใช้, OU = ผู้ใช้ภายนอก, DN = ourdomain, DN = org" แต่ฉันได้รับข้อผิดพลาดต่อไปนี้: "dsquery ล้มเหลว: ไม่มีการอ้างอิงที่ดีเลิศสำหรับบริการไดเรกทอรี ."

— Christopher Garcia

ไม่เป็นไรอ่านรอบ ๆ และแทนที่จะเป็น DN ฉันควรใช้ DC ไม่แน่ใจว่าทำไมถ้าใครสามารถอธิบายได้ฉันจะขอบคุณ ขอบคุณสำหรับความช่วยเหลือของคุณทุกคน :)

— Christopher Garcia

1

DN ย่อมาจาก "Distinguished name" และเป็นวิธีการระบุวัตถุใด ๆ ในแผนผังไดเรกทอรี DC ย่อมาจาก "Domain Component", OU สำหรับหน่วยงานและ CN สำหรับชื่อสามัญ DN ประกอบด้วยส่วนประกอบ DC, OU และ CN หากโดเมนของคุณคือ corp.acme-widgets.local และ Joe Bloggs อยู่ใน OU เรียกว่าการขายซึ่งอยู่ใน OU เรียกว่าผู้ใช้ DN ของ Joe CN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local

— Blogg

5

ฉันแค่อยากโยนมันออกไปและบอกว่านี่เป็นความคิดที่น่ากลัว หากจำเป็นต้องเปลี่ยนรหัสผ่านผู้ใช้ 10K แสดงอยู่การรีเซ็ตจำนวนมากไม่ควรเป็นส่วนหนึ่งของกระบวนการ ที่ดีที่สุดเพียงบังคับให้มีการเปลี่ยนแปลงในครั้งต่อไปที่ผู้ใช้เข้าสู่ระบบจะป้องกันช่องโหว่ขนาดยักษ์ที่คุณกำลังเปิด

— DanBig
แหล่งที่มา

ควรเป็นคำตอบของ Wiki Community

— Izzy

การรีเซ็ตจำนวนมากไม่จำเป็นต้องเป็นความคิดที่น่ากลัวหากคุณใช้รหัสผ่านที่ไม่ซ้ำกันเช่นการรีเซ็ตรหัสผ่านเป็นหมายเลขประกันสังคมหรือข้อมูลส่วนตัวอื่น ๆ ที่ บริษัท รู้จัก อย่างไรก็ตามฉันตกลงรีเซ็ตบัญชี 10k เป็นรหัสผ่านเดียวกันเป็นแนวคิด TERRIBLE ฉันไม่เข้าใจว่าการบังคับให้เปลี่ยนรหัสผ่านประสบความสำเร็จเช่นเดียวกันได้อย่างไรเว้นแต่บัญชีจะถูกล็อคไม่ให้ทำการตรวจสอบอีเมลจนกว่าจะเปลี่ยนรหัสผ่าน

— JamesBarnett

สำหรับกรณีของเราเราทำการรีเซ็ตเป็นจำนวนมากเป็นรหัสผ่านเดียวกันสำหรับผู้ใช้ทุกคน (พวกเขาไม่รู้ว่า) เพราะเราได้เรียนรู้ว่าผู้คนกำลังใช้บัญชีของผู้อื่น ดังนั้นเมื่อรหัสผ่านของพวกเขาไม่ทำงานพวกเขาจะโทรเข้าแล้วเราจะตรวจสอบว่าพวกเขาเป็นใคร ...

— ganders

4

นี่คือตัวแปร PowerShell เพื่อเพิ่มในการผสม เรียกใช้สิ่งนี้จากโมดูล Active Directory สำหรับ Windows Powershell โปรดทราบว่ารหัสผ่านจะต้องเป็นไปตามข้อกำหนดใด ๆ (ความยาวความซับซ้อน ฯลฯ ) ที่ระบุโดยนโยบายโดเมน

สิ่งที่คุณจะต้องเปลี่ยนในการนี้คือ-SearchBaseพารามิเตอร์และ-NewPasswordพารามิเตอร์

ใช้Import-Module ActiveDirectoryเพื่อเพิ่มโมดูล Active Directory ลงใน PowerShell เริ่มต้น

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

หากต้องการดูว่าผู้ใช้รายใดจะมีผลกระทบก่อนที่คุณจะเรียกใช้คำสั่งด้านบนให้ใช้คำสั่งนี้เพื่อให้รายการบัญชีที่ได้รับผลกระทบ

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

— Ben Pilbrow
แหล่งที่มา

0

ฉันคิดว่าการรีเซ็ตรหัสผ่าน 10k จำนวนมากไม่ใช่ความคิดที่ดี เพียงแค่เราสามารถเลือกตัวเลือก "เปลี่ยนแปลงเมื่อเข้าสู่ระบบครั้งต่อไป" ซึ่งจะทำให้มั่นใจได้ว่าเราจะไม่ทำลายนโยบายหรือกระบวนการด้านความปลอดภัยของข้อมูลใด ๆ GN

— user475814
แหล่งที่มา