Como faço para redefinir senhas em massa para todos os usuários em uma unidade organizacional?

14

Sou um desenvolvedor na minha organização, mas recebi a tarefa de redefinir as senhas em usuários de e-mail de 10k em uma unidade organizacional no Active Directory. Recebi as permissões adequadas e enviei o seguinte artigo do TechNet , mas não tenho certeza onde eu corria isso ou como exatamente funciona. Peço desculpas se essa pergunta for muito vaga, mas não sabia onde mais poderia perguntar (eu perguntaria a um administrador de sistema na minha organização, mas demoraria um pouco para responder). Alguém poderia me dar um resumo do que exatamente esse cmdlet faz e como eu faria para executar isso?

    
por Christopher Garcia 29.11.2010 / 21:11

4 respostas

28

Muito mais fácil que isso. Instale o (dependendo do seu sabor do sistema operacional da estação de trabalho) Ferramentas de Administração Remota do Servidor para que você obtenha as ferramentas do AD DS. Não se esqueça de acessar os recursos do Windows no Painel de Controle para ativar os conjuntos de ferramentas corretos.

Depois de fazer isso, o comando a seguir alcançará o resultado desejado:

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ Substitua "OU = myOU, UO = myUsers, DC = myDomain, DC = loc" com o distinguishedName da OU que contém os usuários a serem alterados

    
por 29.11.2010 / 21:23
5

Eu só quero jogar isso e dizer que essa é uma idéia horrível. Se a necessidade de alterar senhas de usuário de 10K estiver presente, uma redefinição em massa não deve fazer parte do processo. Na melhor das hipóteses, simplesmente forçar uma alteração na próxima vez que um usuário fizer logon impediria a gigantesca falha de segurança que você está abrindo.

    
por 30.11.2010 / 19:08
4

Aqui está uma variante do PowerShell para adicionar à mistura. Execute isso nos módulos do Active Directory para o Windows Powershell. Observe que a senha deve atender a quaisquer requisitos (tamanho, complexidade, etc.) especificados pela política do domínio.

As coisas que você precisará mudar são o parâmetro -SearchBase e o parâmetro -NewPassword .

Use Import-Module ActiveDirectory para adicionar os módulos do Active Directory ao PowerShell padrão.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

Para ver quais usuários isso afetará antes de executar o comando acima, emita esse comando para fornecer uma lista de contas afetadas.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

    
por 30.11.2010 / 00:23
0

Eu acho que o reset de 10k não é uma boa ideia. Simplesmente podemos escolher a opção "alterar no próximo logon" Isso garantirá que não estamos violando nenhuma política ou processo de Segurança da Informação. GN

    
por 28.06.2018 / 05:12