OU의 모든 사용자에 대한 암호를 대량으로 재설정하려면 어떻게합니까?

14

저는 조직의 개발자이지만 Active Directory의 OU에있는 10k 전자 메일 사용자의 암호를 재설정하는 작업을 수행했습니다. 적절한 권한을 부여받은 후 다음 TechNet article 을 보냈지 만 어디에서 실행할지 또는 정확히 어떻게 작동하는지 잘 모르겠습니다. 이 질문이 너무 모호한 경우 사과드립니다. 그러나 다른 곳에서 물어볼 수 있는지 잘 모르겠습니다 (조직의 sysadmin에게 문의하지만 응답하는 데 시간이 오래 걸림). 누군가이 cmdlet의 기능과 실행 방법에 대해 설명해 줄 수 있습니까?

active-directory

— 크리스토퍼 가르시아
소스

3

모두 동일한 비밀번호이거나 모두 다른 비밀번호가 필요합니까? 잘 아시겠지만, 같은 암호를 가진 10k 사용자는 세상에서 가장 좋은 아이디어는 아닙니다 ...

— Ben Pilbrow

모두 같은 비밀번호입니다. 시나리오에서 작동하며,이 소리가 거꾸로 들리는 것을 이해하고 다음 로그온시 사용자가 비밀번호를 변경합니다.

— Christopher Garcia

28

그것보다 훨씬 쉽습니다. AD DS 도구를 사용할 수 있도록 워크 스테이션 OS의 특징에 따라 원격 서버 관리 도구를 설치하십시오 . 올바른 도구 세트를 사용하려면 제어판의 Windows 기능으로 이동하십시오.

이 작업을 완료하면 다음 명령이 원하는 결과를 얻습니다.

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

~ "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" 를 변경할 사용자가 포함 된 OU의 distinguishedName으로 바꿉니다.

— 이지
소스

PowerShell 용 Active Directory 모듈에서이 작업을 수행합니까?

— Christopher Garcia

2

이지의 솔루션 : 일반 팔자 'cmd.exe를 명령 쉘에서 작동

— cheeseprocedure

"OU = Users, OU = External Users, DN = ourdomain, DN = org"에 표시된대로 문자열을 바꾸면서 명령을 실행했지만 다음 오류가 발생합니다. "dsquery 실패 : 디렉토리 서비스에 대한 상위 참조가 구성되지 않았습니다. "

— Christopher Garcia

신경 쓰지 말고 DN 대신 DC를 사용해야합니다. 왜 누군가가 설명 할 수 있다면 감사 할 것입니다. 여러분의 도움에 감사드립니다. :)

— Christopher Garcia

1

DN은 "고유 이름"을 나타내며 디렉토리 트리에서 개체를 고유하게 식별하는 방법입니다. DC는 "도메인 구성 요소", 조직 구성 단위 (OU), 일반 이름 (CN)을 나타냅니다. DN은 DC, OU 및 CN 부품으로 구성됩니다. 도메인이 corp.acme-widgets.local이고 Joe Bloggs가 Sales라는 OU에 있고 Users라는 OU에있는 경우 Joe Bloggs의 DN은CN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local

— Ben Pilbrow

5

나는 이것을 이것을 밖으로 던져 버리고 이것이 끔찍한 생각이라고 말하고 싶다. 10K 사용자 비밀번호를 변경해야하는 경우 대량 재설정이 프로세스의 일부가되어서는 안됩니다. 기껏해야 다음에 사용자가 로그온 할 때 변경을 강요하면 엄청난 보안 허점을 막을 수 있습니다.

— 댄빅
소스

커뮤니티 위키 답변이어야합니다

— Izzy

고유 비밀번호를 사용하는 경우 (예 : 소셜 시큐리티 번호 또는 회사에 알려진 기타 개인 정보로 비밀번호 재설정) 대량 재설정은 끔찍한 아이디어 일 필요는 없습니다. 그러나 10k 계정을 동일한 암호로 재설정하는 것은 끔찍한 아이디어입니다. 비밀번호가 변경 될 때까지 메일을 확인하지 못하도록 계정을 잠그지 않는 한 비밀번호 변경을 강제로 수행하는 방법을 이해하지 못합니다.

— JamesBarnett

우리의 경우 사람들이 다른 사람의 계정을 사용하고 있다는 것을 알게 되었기 때문에 모든 사용자에 대해 동일한 비밀번호로 대량 재설정을 수행하고 있습니다. 따라서 암호가 작동하지 않으면 전화를 겁니다. 그러면 누구인지 확인합니다.

— ganders

4

다음은 믹스에 추가 할 PowerShell 변형입니다. Windows Powershell 용 Active Directory 모듈에서이를 실행하십시오. 암호는 도메인 정책에 지정된 요구 사항 (길이, 복잡성 등)을 충족해야합니다.

여기에서 변경해야 할 것은 -SearchBase매개 변수와 -NewPassword매개 변수입니다.

Import-Module ActiveDirectory기본 PowerShell에 Active Directory 모듈을 추가하는 데 사용 합니다.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

위 명령을 실행하기 전에 이것이 어떤 사용자에게 영향을 미치는지 보려면이 명령을 실행하여 영향을받는 계정 목록을 제공하십시오.

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

— 벤 필 브로우
소스

0

10k 암호를 대량으로 재설정하는 것은 좋은 생각이 아닙니다. "다음 로그온시 변경"옵션을 선택하면 정보 보안 정책이나 프로세스가 중단되지 않습니다. GN

— 사용자
소스