Làm cách nào để đặt lại mật khẩu hàng loạt cho tất cả người dùng trong OU?

14

Tôi là nhà phát triển tại tổ chức của mình, nhưng tôi được giao nhiệm vụ đặt lại mật khẩu trên 10k người dùng e-mail trong OU trong Active Directory. Tôi đã được cấp quyền thích hợp, sau đó gửi bài viết TechNet sau đây , nhưng tôi không chắc chắn nơi tôi sẽ chạy nó hoặc cách chính xác nó hoạt động. Tôi xin lỗi nếu câu hỏi này quá mơ hồ, nhưng tôi không chắc là mình có thể hỏi ở đâu nữa (tôi sẽ hỏi một sysadmin tại tổ chức của tôi, nhưng sẽ mất một lúc để trả lời). Ai đó có thể cho tôi một bản tóm tắt về chính xác lệnh ghép ngắn này làm gì và tôi sẽ thực hiện việc này như thế nào không?

active-directory 
Christopher Garcia
nguồn
3
Tất cả cùng một mật khẩu, hoặc tất cả chúng đều yêu cầu mật khẩu khác nhau? Như tôi chắc chắn rằng bạn biết, 10k người dùng có cùng mật khẩu không phải là ý tưởng tuyệt vời nhất trên thế giới ...
Ben Pilbrow
Tất cả cùng một mật khẩu. Nó chỉ xảy ra để hoạt động trong kịch bản của chúng tôi, chúng tôi hiểu âm thanh này ngược như thế nào và người dùng sẽ thay đổi mật khẩu khi đăng nhập tiếp theo.
Christopher Garcia

Câu trả lời:

28

Dễ dàng hơn nhiều. Cài đặt (tùy thuộc vào hương vị của hệ điều hành máy trạm của bạn) Công cụ quản trị máy chủ từ xa để bạn có được các công cụ AD DS. Đừng quên truy cập các Tính năng Windows của bạn trong Bảng điều khiển để bật các bộ công cụ chính xác.

Khi bạn đã thực hiện điều đó, lệnh sau sẽ đạt được kết quả mong muốn của bạn:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Thay thế "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" bằng tên phân biệt của OU chứa người dùng sẽ được thay đổi

Izzy
nguồn
Tôi có thể làm điều này trong Mô-đun Active Directory cho PowerShell không?
Christopher Garcia
2
Giải pháp của izzy hoạt động từ trình vỏ lệnh ol 'cmd.exe thông thường :)
cheeseprocedure
Tôi đã chạy lệnh, thay thế chuỗi như được chỉ định "OU = Users, OU = Users Users, DN = ourdomain, DN = org", nhưng tôi gặp lỗi sau: "dsquery fail: Không có tham chiếu ưu việt nào được cấu hình cho dịch vụ thư mục . "
Christopher Garcia
Không bao giờ, đọc xung quanh và rõ ràng thay vì DN tôi phải sử dụng DC. Không chắc tại sao, nếu có ai có thể giải thích tôi sẽ biết ơn. Cảm ơn sự giúp đỡ của mọi người. :)
Christopher Garcia
1
DN là viết tắt của "Tên phân biệt" và là một cách để xác định duy nhất bất kỳ đối tượng nào trong cây thư mục. DC là viết tắt của "Thành phần miền", OU cho Đơn vị tổ chức và CN cho Tên chung. Một DN được tạo thành từ các bộ phận DC, OU và CN. Nếu tên miền của bạn là corp.acme-widget.local và Joe Bloggs ở trong một OU được gọi là Bán hàng trong OU được gọi là Người dùng, thì DN của Joe Bloggs sẽ làCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow
5

Tôi chỉ muốn ném nó ra khỏi đó và nói rằng đây là một ý tưởng khủng khiếp. Nếu cần thay đổi mật khẩu người dùng 10K, thiết lập lại hàng loạt không phải là một phần của quy trình. Tốt nhất, chỉ cần buộc thay đổi vào lần tới khi người dùng đăng nhập sẽ ngăn lỗ hổng bảo mật khổng lồ mà bạn đang mở.

DanBig
nguồn
Phải là một câu trả lời Wiki cộng đồng
Izzy
Thiết lập lại hàng loạt không nhất thiết là một ý tưởng tồi, nếu bạn đang sử dụng mật khẩu duy nhất, tức là đặt lại mật khẩu thành số an sinh xã hội hoặc một số thông tin cá nhân khác mà công ty biết. Tuy nhiên, tôi đồng ý đặt lại 10k tài khoản cho cùng một mật khẩu là ý tưởng TERRIBLE. Tôi không hiểu cách buộc thay đổi mật khẩu thực hiện điều tương tự, trừ khi tài khoản bị khóa khỏi việc kiểm tra thư cho đến khi mật khẩu được thay đổi.
JamesBarnett
Đối với trường hợp của chúng tôi, chúng tôi đang thực hiện thiết lập lại hàng loạt, với cùng một mật khẩu cho tất cả người dùng (họ không biết điều đó) vì chúng tôi đã biết rằng mọi người đang sử dụng tài khoản của người khác. Vì vậy, khi mật khẩu của họ không hoạt động, họ sẽ gọi đến, và sau đó chúng tôi sẽ xác minh họ là ai ...
ganders
4

Đây là một biến thể PowerShell để thêm vào hỗn hợp. Chạy phần này từ Mô-đun Active Directory cho Windows Powershell. Lưu ý rằng mật khẩu phải đáp ứng bất kỳ yêu cầu nào (độ dài, độ phức tạp, v.v.) được chỉ định bởi chính sách miền.

Những thứ bạn sẽ cần thay đổi trong đó là -SearchBasetham số và -NewPasswordtham số.

Sử dụng Import-Module ActiveDirectoryđể thêm các Mô-đun Active Directory vào PowerShell mặc định.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Để xem những gì người dùng sẽ ảnh hưởng trước khi bạn chạy lệnh ở trên, hãy đưa ra lệnh này để cung cấp cho bạn danh sách các tài khoản bị ảnh hưởng.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
nguồn
0

Tôi nghĩ rằng đặt lại số lượng lớn 10k passowords không phải là ý tưởng tốt. Đơn giản là chúng ta có thể chọn tùy chọn "thay đổi ở lần đăng nhập tiếp theo" Nó sẽ đảm bảo rằng chúng ta không vi phạm bất kỳ chính sách hoặc quy trình bảo mật thông tin nào. GN

người dùng
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.