Wie kann ich Kennwörter für alle Benutzer in einer Organisationseinheit per Bulk-Reset zurücksetzen?

14

Ich bin ein Entwickler in meiner Organisation, wurde jedoch beauftragt, die Kennwörter für 10.000 E-Mail-Benutzer in einer Organisationseinheit in Active Directory zurückzusetzen. Ich habe die richtigen Berechtigungen erhalten und dann den folgenden TechNet-Artikel gesendet , bin mir jedoch nicht sicher, wo ich das ausführen würde und wie genau es funktioniert. Ich entschuldige mich, wenn diese Frage zu vage ist, aber ich war mir nicht sicher, wo ich sie sonst fragen könnte (ich würde einen Sysadmin in meiner Organisation fragen, aber es würde eine Weile dauern, bis ich eine Antwort bekomme). Könnte mir jemand einen Überblick darüber geben, was genau dieses Cmdlet bewirkt und wie ich das ausführen würde?

active-directory Christopher Garcia
quelle
3
Alle das gleiche Passwort, oder erfordern sie alle unterschiedliche Passwörter? Wie Sie sicher wissen, sind 10.000 Benutzer mit demselben Kennwort nicht die beste Idee der Welt ...
Ben Pilbrow
Immerhin Passwort. Es funktioniert einfach in unserem Szenario. Wir verstehen, wie sich dies rückwärts anhört, und die Benutzer ändern das Kennwort bei der nächsten Anmeldung.
Christopher Garcia

Antworten:

28

Viel einfacher als das. Installieren Sie die Remoteserver-Verwaltungstools (abhängig von Ihrem Betriebssystem), damit Sie die AD DS-Tools erhalten. Vergessen Sie nicht, die Windows-Funktionen in der Systemsteuerung aufzurufen, um die richtigen Toolsets zu aktivieren.

Sobald Sie das getan haben, wird der folgende Befehl Ihr gewünschtes Ergebnis erzielen:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Ersetzen Sie "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" durch den definierten Namen der Organisationseinheit, die die zu ändernden Benutzer enthält

Izzy
quelle
Würde ich dies im Active Directory-Modul für PowerShell tun?
Christopher Garcia
2
Die Lösung von izzy funktioniert über die reguläre Befehls-Shell ol 'cmd.exe :)
cheeseprocedure 29.11.10
Ich habe den Befehl ausgeführt und die Zeichenfolge wie folgt ersetzt: "OU = Benutzer, OU = Externe Benutzer, DN = UnsereDomäne, DN = Organisation". Es wird jedoch die folgende Fehlermeldung angezeigt: "dsquery failed: Für den Verzeichnisdienst wurde kein übergeordneter Verweis konfiguriert . "
Christopher Garcia
Egal, lies herum und anscheinend sollte ich anstelle von DN DC verwenden. Ich weiß nicht warum, wenn mir das jemand erklären könnte, wäre ich dankbar. Vielen Dank für Ihre Hilfe an alle. :)
Christopher Garcia
1
DN steht für "Distinguished Name" und dient zur eindeutigen Identifizierung von Objekten im Verzeichnisbaum. DC steht für "Domain Component", OU für Organizational Unit und CN für Common Name. Ein DN besteht aus DC-, OU- und CN-Teilen. Wenn Ihre Domain corp.acme-widgets.local lautet und Joe Bloggs sich in einer Organisationseinheit mit dem Namen Sales befindet, die sich in einer Organisationseinheit mit dem Namen Users befindet, lautet der DN von Joe BloggsCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow,
5

Ich möchte das nur rausschmeißen und sagen, das ist eine schreckliche Idee. Wenn die Notwendigkeit zum Ändern von 10-KB-Benutzerkennwörtern besteht, sollte ein Massen-Reset nicht Teil des Prozesses sein. Wenn Sie das nächste Mal, wenn sich ein Benutzer anmeldet, einfach eine Änderung erzwingen, können Sie bestenfalls die gigantische Sicherheitslücke verhindern, die Sie öffnen.

DanBig
quelle
Sollte eine Community Wiki Antwort sein
Izzy
Ein Massen-Reset ist nicht unbedingt eine schreckliche Idee, wenn Sie eindeutige Passwörter verwenden, dh Passwörter auf Sozialversicherungsnummern oder andere dem Unternehmen bekannte private Informationen zurücksetzen. Ich stimme jedoch zu, dass das Zurücksetzen von 10.000 Konten auf dasselbe Passwort eine SCHRECKLICHE Idee ist. Ich verstehe nicht, wie das Erzwingen einer Kennwortänderung dasselbe bewirkt, es sei denn, das Konto ist für das Überprüfen von E-Mails gesperrt, bis das Kennwort geändert wird.
JamesBarnett
In unserem Fall führen wir einen Massen-Reset für alle Benutzer auf dasselbe Kennwort durch (sie wissen das nicht), da wir erfahren haben, dass Benutzer die Konten anderer Benutzer verwenden. Wenn ihr Passwort nicht funktioniert, werden sie anrufen und dann überprüfen, wer sie sind ...
ganders
4

Hier ist eine PowerShell-Variante, die Sie dem Mix hinzufügen können. Führen Sie dies über die Active Directory-Module für Windows PowerShell aus. Beachten Sie, dass das Kennwort alle Anforderungen (Länge, Komplexität usw.) erfüllen muss, die in der Domänenrichtlinie angegeben sind.

Dinge, die Sie daran ändern müssen, sind der -SearchBaseParameter und der -NewPasswordParameter.

Verwenden Sie Import-Module ActiveDirectorydiese Option , um die Active Directory-Module zur Standard-PowerShell hinzuzufügen.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Um zu sehen, welche Benutzer davon betroffen sind, bevor Sie den obigen Befehl ausführen, geben Sie diesen Befehl ein, um eine Liste der betroffenen Konten anzuzeigen.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
quelle
0

Ich halte das Zurücksetzen von 10.000 Passwörtern für keine gute Idee. Wir können einfach die Option "Bei der nächsten Anmeldung ändern" auswählen. Dadurch wird sichergestellt, dass keine Richtlinien oder Prozesse zur Informationssicherheit verletzt werden. GN

user475814
quelle