Como redefinir em massa senhas para todos os usuários em uma UO?

14

Sou desenvolvedor da minha organização, mas fui encarregado de redefinir as senhas de 10 mil usuários de email em uma UO do Active Directory. Recebi as permissões adequadas e, em seguida, enviei o seguinte artigo do TechNet , mas não sei ao certo onde executaria isso ou como exatamente funciona. Peço desculpas se esta pergunta é muito vaga, mas não sabia ao certo onde mais poderia perguntar (pediria a um administrador de sistemas da minha organização, mas levaria um tempo para responder). Alguém poderia me dar um resumo do que exatamente esse cmdlet faz e como eu executaria isso?

active-directory Christopher Garcia
fonte
3
A mesma senha ou todas exigem senhas diferentes? Como eu tenho certeza que você está ciente, 10k usuários com a mesma senha não é a melhor idéia do mundo ...
Ben Pilbrow
A mesma senha. Acontece que funciona no nosso cenário, entendemos como isso soa ao contrário e os usuários alteram a senha no próximo logon.
Christopher Garcia

Respostas:

28

Muito mais fácil que isso. Instale as ferramentas de administração de servidor remoto (dependendo do seu gosto do sistema operacional da estação de trabalho) para obter as ferramentas do AD DS. Não se esqueça de acessar os Recursos do Windows no Painel de Controle para habilitar os conjuntos de ferramentas corretos.

Depois de fazer isso, o seguinte comando alcançará o resultado desejado:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Substitua "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" pelo distinguishedName da UO que contém os usuários a serem alterados

Izzy
fonte
Eu faria isso no módulo Active Directory para PowerShell?
Christopher Garcia
2
A solução da izzy funciona a partir da casca ol' cmd.exe comando regulares :)
cheeseprocedure
Executei o comando, substituindo a sequência conforme indicado "OU = Usuários, OU = Usuários Externos, DN = nosso domínio, DN = org", mas recebo o seguinte erro: "dsquery falhou: nenhuma referência superior foi configurada para o serviço de diretório . "
Christopher Garcia
Deixa pra lá, leia e aparentemente, em vez de DN, eu deveria usar o DC. Não sei por que, se alguém pudesse explicar eu ficaria agradecido. Obrigado por sua ajuda a todos. :)
Christopher Garcia
1
DN significa "Nome distinto" e é uma maneira de identificar exclusivamente qualquer objeto na árvore de diretórios. DC significa "Componente de Domínio", OU para Unidade Organizacional e CN para Nome Comum. Um DN é composto de peças DC, OU e CN. Se o seu domínio for corp.acme-widgets.local e Joe Bloggs estiver em uma UO chamada Vendas, que se encontra em uma UO chamada Usuários, o DN de Joe Bloggs seriaCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow
5

Eu só quero jogar isso lá fora e dizer que é uma ideia horrível. Se houver a necessidade de alterar senhas de 10 mil usuários, uma redefinição em massa não deve fazer parte do processo. Na melhor das hipóteses, simplesmente forçar uma alteração na próxima vez em que um usuário fizer logon impediria a gigantesca brecha de segurança que você está abrindo.

DanBig
fonte
Deve ser uma resposta da Comunidade Wiki
Izzy
A redefinição em massa não é necessariamente uma péssima idéia, se você estiver usando senhas exclusivas, como redefinir senhas para números de previdência social ou alguma outra informação privada conhecida pela empresa. No entanto, eu concordo redefinir 10k de contas com a mesma senha é uma idéia TERRÍVEL. Não entendo como forçar uma alteração de senha realiza a mesma coisa, a menos que a conta fique bloqueada de verificar o correio até que a senha seja alterada.
precisa
No nosso caso, estamos fazendo uma redefinição em massa, com a mesma senha para todos os usuários (eles não sabem disso) porque aprendemos que as pessoas estão usando as contas de outras pessoas. Então, quando a senha não funcionar, eles vão chamar, e então vamos verificar quem são ...
Ganders
4

Aqui está uma variante do PowerShell para adicionar à mistura. Execute isso nos Módulos do Active Directory para Windows PowerShell. Observe que a senha deve atender a todos os requisitos (comprimento, complexidade etc.) especificados pela política de domínio.

O que você precisará alterar é o -SearchBaseparâmetro e o -NewPasswordparâmetro.

Use Import-Module ActiveDirectorypara adicionar os módulos do Active Directory ao PowerShell padrão.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Para ver quais usuários isso afetará antes de executar o comando acima, emita este comando para fornecer uma lista das contas afetadas.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
fonte
0

Acho que redefinir palavras-passe 10k em massa não é uma boa ideia. Simplesmente podemos escolher a opção "alterar no próximo logon". Isso garantirá que não estamos violando nenhuma política ou processo de Segurança da Informação. GN

user475814
fonte