¿Cómo restablezco contraseñas masivas para todos los usuarios en una unidad organizativa?

14

Soy desarrollador de mi organización, pero se me ha encomendado la tarea de restablecer las contraseñas de los usuarios de correo electrónico de 10k en una unidad organizativa en Active Directory. Me dieron los permisos adecuados, luego envié el siguiente artículo de TechNet , pero no estoy seguro de dónde ejecutaría esto o cómo funciona exactamente. Pido disculpas si esta pregunta es demasiado vaga, pero no estaba seguro de dónde más podría preguntar (pediría a un administrador de sistemas de mi organización, pero me tomaría un tiempo responder). ¿Podría alguien darme un resumen de lo que hace exactamente este cmdlet y cómo haría para ejecutar esto?

active-directory Christopher garcia
fuente
3
¿Todas la misma contraseña o todas requieren contraseñas diferentes? Como estoy seguro de que saben, 10k usuarios con la misma contraseña no es la mejor idea del mundo ...
Ben Pilbrow
Toda la misma contraseña. Simplemente sucede que funciona en nuestro escenario, entendemos lo atrás que suena esto, y los usuarios cambiarán la contraseña en el próximo inicio de sesión.
Christopher Garcia

Respuestas:

28

Mucho más fácil que eso. Instale las herramientas de administración remota del servidor (según el tipo de sistema operativo de su estación de trabajo) para obtener las herramientas AD DS. No olvide entrar en las características de Windows en el Panel de control para habilitar los conjuntos de herramientas correctos.

Una vez que haya hecho eso, el siguiente comando logrará el resultado deseado:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Reemplace "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" con el nombre distinguido de la OU que contiene los usuarios a cambiar

Izzy
fuente
¿Haría esto en el Módulo de Active Directory para PowerShell?
Christopher Garcia el
2
La solución de izzy funciona desde el shell de comando normal ol 'cmd.exe :)
cheeseprocedure
Ejecuté el comando, reemplazando la cadena como se indica "OU = Users, OU = Users Externos, DN = ourdomain, DN = org", pero aparece el siguiente error: "dsquery falló: No se ha configurado ninguna referencia superior para el servicio de directorio ".
Christopher Garcia
No importa, lea y aparentemente, en lugar de DN, se suponía que debía usar DC. No estoy seguro de por qué, si alguien pudiera explicarlo, estaría agradecido. Gracias por su ayuda a todos. :)
Christopher Garcia
1
DN significa "Nombre distinguido" y es una forma de identificar de forma exclusiva cualquier objeto en el árbol de directorios. DC significa "Componente de dominio", OU para Unidad organizativa y CN para Nombre común. Un DN está compuesto de partes DC, OU y CN. Si su dominio es corp.acme-widgets.local y Joe Bloggs está en una unidad organizativa llamada Ventas que está en una unidad organizativa llamada Usuarios, el DN de Joe Bloggs seríaCN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
Ben Pilbrow el
5

Solo quiero lanzar esto y decir que es una idea horrible. Si existe la necesidad de cambiar las contraseñas de los usuarios de 10K, un restablecimiento masivo no debe ser parte del proceso. En el mejor de los casos, simplemente forzar un cambio la próxima vez que un usuario inicie sesión evitaría el gigantesco agujero de seguridad que está abriendo.

DanBig
fuente
Debería ser una respuesta Wiki de la comunidad
Izzy
El restablecimiento masivo no es necesariamente una idea terrible, si está utilizando contraseñas únicas, es decir, restablecer contraseñas a números de seguridad social o alguna otra información privada conocida por la empresa. Sin embargo, estoy de acuerdo en restablecer 10k de cuentas a la misma contraseña es una idea TERRIBLE. No entiendo cómo forzar un cambio de contraseña logra lo mismo, a menos que la cuenta esté bloqueada para verificar el correo hasta que se cambie la contraseña.
JamesBarnett
Para nuestro caso, estamos haciendo un restablecimiento masivo, a la misma contraseña para todos los usuarios (ellos no lo saben) porque hemos aprendido que las personas están usando las cuentas de otras personas. Entonces, cuando su contraseña no funciona, van a llamar, y luego verificaremos quiénes son ...
reúne
4

Aquí hay una variante de PowerShell para agregar a la mezcla. Ejecute esto desde los módulos de Active Directory para Windows Powershell. Tenga en cuenta que la contraseña debe cumplir con los requisitos (longitud, complejidad, etc.) especificados por la política de dominio.

Las cosas que necesitará cambiar en esto son el -SearchBaseparámetro y el -NewPasswordparámetro.

Use Import-Module ActiveDirectorypara agregar los módulos de Active Directory en el PowerShell predeterminado.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Para ver a qué usuarios afectará esto antes de ejecutar el comando anterior, emita este comando para obtener una lista de las cuentas afectadas.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

Ben Pilbrow
fuente
0

Creo que restablecer masivamente las contraseñas de 10k no es una buena idea. Simplemente podemos elegir la opción "cambiar en el próximo inicio de sesión" Se asegurará de que no estamos incumpliendo ninguna política o proceso de Seguridad de la Información. GN

usuario475814
fuente