Как выполнить массовый сброс паролей для всех пользователей в подразделении?
Я являюсь разработчиком в своей организации, но мне было поручено сбросить пароли для пользователей электронной почты 10 КБ в подразделении в Active Directory. Мне дали соответствующие разрешения, затем я отправил следующую статью в TechNet, но я не уверен, где я буду запускать это или как именно это работает. Я извиняюсь, если этот вопрос слишком расплывчатый, но я не был уверен, где еще я мог бы спросить (я бы попросил сисадмина в моей организации, но для ответа потребовалось бы некоторое время). Может ли кто-нибудь дать мне краткое изложение того, что именно делает этот командлет и как я могу выполнить это?
4 ответа
Гораздо проще, чем это. Установите (в зависимости от вашего вида ОС вашей рабочей станции) средства удаленного администрирования сервера, чтобы получить инструменты AD DS. Не забудьте зайти в свои функции Windows на панели управления, чтобы включить правильные наборы инструментов.
Как только вы это сделаете, следующая команда достигнет желаемого результата:
DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>
~ Замените "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" на отличительное имя OU, содержащее пользователей, которых нужно изменить
Я просто хочу выбросить это и сказать, что это ужасная идея. Если возникает необходимость изменить пароли пользователя 10K, массовый сброс не должен быть частью процесса. В лучшем случае простое принудительное изменение в следующий раз, когда пользователь входит в систему, предотвратит гигантскую дыру в безопасности, которую вы открываете.
Вот вариант PowerShell, чтобы добавить к смеси. Запустите это из модулей Active Directory для Windows Powershell. Обратите внимание, что пароль должен соответствовать любым требованиям (длина, сложность и т. Д.), Указанным в политике домена.
Вещи, которые вам нужно изменить в этом -SearchBase параметр и -NewPassword параметр.
использование Import-Module ActiveDirectory добавить модули Active Directory в стандартную оболочку PowerShell.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)
Чтобы увидеть, на каких пользователей это повлияет, прежде чем выполнять указанную выше команду, введите эту команду, чтобы получить список затронутых учетных записей.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name
Я думаю, что массовый сброс 10k passowords не очень хорошая идея. Просто мы можем выбрать опцию "изменить при следующем входе в систему". Это гарантирует, что мы не нарушаем какую-либо политику или процесс информационной безопасности. Г.Н.