Bagaimana cara saya mereset ulang kata sandi untuk semua pengguna dalam OU?

14

Saya seorang pengembang di organisasi saya, tetapi saya telah ditugaskan untuk mengatur ulang kata sandi pada pengguna email 10k di OU di Active Directory. Saya diberi izin yang tepat, lalu mengirim artikel TechNet berikut , tetapi saya tidak yakin di mana saya menjalankan ini atau bagaimana tepatnya kerjanya. Saya minta maaf jika pertanyaan ini terlalu samar, tetapi saya tidak yakin di mana lagi saya bisa bertanya (saya akan meminta sysadmin di organisasi saya, tetapi butuh beberapa saat untuk menjawab). Bisakah seseorang memberi saya ikhtisar tentang apa sebenarnya yang dilakukan cmdlet ini dan bagaimana saya akan menjalankannya?

active-directory Christopher Garcia
sumber
3
Semua kata sandi yang sama, atau apakah semuanya memerlukan kata sandi yang berbeda? Seperti yang saya yakin Anda ketahui, 10k pengguna dengan kata sandi yang sama bukan ide terbaik di dunia ...
Ben Pilbrow
Semua kata sandi yang sama. Kebetulan berfungsi dalam skenario kami, kami memahami bagaimana ini terdengar, dan pengguna akan mengubah kata sandi setelah masuk berikutnya.
Christopher Garcia

Jawaban:

28

Jauh lebih mudah dari itu. Instal (tergantung pada selera OS workstation Anda) Alat Administrasi Server Jarak Jauh sehingga Anda mendapatkan alat AD DS. Jangan lupa untuk masuk ke Fitur Windows Anda di Control Panel untuk mengaktifkan set alat yang benar.

Setelah Anda selesai melakukannya, perintah berikut akan mencapai hasil yang Anda inginkan:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Ganti "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" dengan nama dibedakan dari OU yang berisi pengguna yang akan diubah

Izzy
sumber
Apakah saya akan melakukan ini di Modul Direktori Aktif untuk PowerShell?
Christopher Garcia
2
solusi izzy bekerja dari shell perintah
old cm.exe biasa
Saya menjalankan perintah, mengganti string seperti yang ditunjukkan "OU = Pengguna, OU = Pengguna Eksternal, DN = domain kami, DN = org", tetapi saya mendapatkan kesalahan berikut: "dsquery gagal: Tidak ada referensi unggul yang telah dikonfigurasi untuk layanan direktori . "
Christopher Garcia
Nevermind, baca-baca dan ternyata bukannya DN saya seharusnya pakai DC. Tidak yakin mengapa, kalau ada yang bisa menjelaskan saya akan berterima kasih. Terima kasih atas bantuan Anda semuanya. :)
Christopher Garcia
1
DN adalah singkatan dari "Distinguished name" dan merupakan cara mengidentifikasi secara unik objek apa pun di pohon direktori. DC singkatan dari "Komponen Domain", OU untuk Unit Organisasi dan CN untuk Nama Umum. DN terdiri dari bagian DC, OU dan CN. Jika domain Anda adalah corp.acme-widgets.local dan Joe Bloggs berada dalam OU yang disebut Penjualan yang berada dalam OU yang disebut Pengguna, Joe Bloggs akan menjadiCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow
5

Saya hanya ingin membuang ini di luar sana dan mengatakan ini adalah ide yang mengerikan. Jika kebutuhan untuk mengubah kata sandi pengguna 10K hadir, reset massal tidak boleh menjadi bagian dari proses. Paling-paling, hanya memaksa perubahan lain kali jika pengguna masuk akan mencegah lubang keamanan raksasa yang Anda buka.

DanBig
sumber
Seharusnya jawaban Komunitas Wiki
Izzy
Reset massal tidak selalu merupakan ide yang buruk, jika Anda menggunakan kata sandi unik, yaitu mengatur ulang kata sandi ke nomor jaminan sosial atau informasi pribadi lainnya yang diketahui oleh perusahaan. Namun saya setuju mengatur ulang 10k akun ke kata sandi yang sama adalah ide yang MENGERIKAN. Saya tidak mengerti bagaimana memaksa perubahan kata sandi menyelesaikan hal yang sama, kecuali akun tidak dikunci untuk memeriksa surat sampai kata sandi diubah.
JamesBarnett
Untuk kasus kami, kami melakukan reset massal, ke kata sandi yang sama untuk semua pengguna (mereka tidak tahu itu) karena kami telah mengetahui bahwa orang menggunakan akun orang lain. Jadi ketika kata sandi mereka tidak berfungsi, mereka akan menelepon, dan kemudian kami akan memverifikasi siapa mereka ...
ganders
4

Berikut varian PowerShell untuk ditambahkan ke dalam campuran. Jalankan ini dari Modul Direktori Aktif untuk Windows Powershell. Perhatikan bahwa kata sandi harus memenuhi persyaratan (panjang, kompleksitas, dll.) Yang ditentukan oleh kebijakan domain.

Hal-hal yang perlu Anda ubah adalah -SearchBaseparameter dan -NewPasswordparameternya.

Gunakan Import-Module ActiveDirectoryuntuk menambahkan Modul Direktori Aktif ke dalam PowerShell default.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Untuk melihat apa yang akan mempengaruhi pengguna ini sebelum Anda menjalankan perintah di atas, keluarkan perintah ini untuk memberi Anda daftar akun yang terpengaruh.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
sumber
0

Saya pikir mengatur ulang 10k kata sandi bukan ide yang baik. Cukup kita dapat memilih opsi "ubah pada log masuk berikutnya" Ini akan memastikan bahwa kita tidak melanggar kebijakan atau proses Keamanan Informasi. GN

pengguna475814
sumber