Я разработчик в своей организации, но мне было поручено сбросить пароли для 10 000 пользователей электронной почты в подразделении в Active Directory. Мне были предоставлены соответствующие разрешения, а затем я отправил следующие Статья в TechNet, но я не уверен, где бы это запустить и как именно это работает. Прошу прощения, если этот вопрос слишком расплывчатый, но я не был уверен, где еще я мог бы спросить (я бы спросил системного администратора в своей организации, но для ответа потребуется время). Может ли кто-нибудь дать мне краткое изложение того, что именно делает этот командлет и как я буду его выполнять?
Намного проще, чем это. Установите (в зависимости от вашего вкуса ОС вашей рабочей станции) Инструменты удаленного администрирования сервера так что вы получите инструменты AD DS. Не забудьте зайти в «Функции Windows» на панели управления, чтобы включить нужные наборы инструментов.
Как только вы это сделаете, следующая команда приведет к желаемому результату:
DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>
~ Заменить "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" с выделенным именем подразделения, содержащего изменяемых пользователей
Я просто хочу выбросить это и сказать, что это ужасная идея. Если необходимо изменить пароли пользователей 10K, массовый сброс не должен быть частью процесса. В лучшем случае простое принудительное изменение при следующем входе пользователя в систему предотвратит огромную дыру в безопасности, которую вы открываете.
Вот вариант PowerShell, который можно добавить к этому миксу. Запустите это из модулей Active Directory для Windows Powershell. Обратите внимание, что пароль должен соответствовать любым требованиям (длина, сложность и т. Д.), Указанным в политике домена.
Здесь вам нужно будет изменить -SearchBase параметр и -NewPassword параметр.
Использовать Import-Module ActiveDirectory чтобы добавить модули Active Directory в оболочку PowerShell по умолчанию.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)
Чтобы увидеть, на каких пользователей это повлияет, прежде чем запускать приведенную выше команду, введите эту команду, чтобы получить список затронутых учетных записей.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name
Я думаю, что массовый сброс 10k паролей - не лучшая идея. Просто мы можем выбрать вариант «изменить при следующем входе в систему». Это гарантирует, что мы не нарушаем никакую политику или процесс информационной безопасности. GN