Je suis développeur dans mon organisation, mais j'ai été chargé de réinitialiser les mots de passe des utilisateurs de messagerie électronique 10 000 dans une unité d'organisation dans Active Directory. J'ai reçu les autorisations appropriées, puis j'ai envoyé ce qui suit article TechNet , mais je ne sais pas où j'exécuterai cela ni comment cela fonctionne exactement. Je m'excuse si cette question est trop vague, mais je ne savais pas trop où je pouvais demander (je demanderais à un administrateur système de mon organisation, mais cela prendrait un certain temps pour y répondre). Quelqu'un pourrait-il me donner un aperçu de ce que fait exactement cette applet de commande et de la façon dont j'exécuterais cela?
Beaucoup plus facile que ça. Installez le (en fonction de la saveur de votre système d'exploitation) Outils d'administration de serveur distant pour obtenir les outils AD DS. N'oubliez pas d'aller dans vos fonctionnalités Windows dans le Panneau de configuration pour activer les jeux d'outils appropriés.
Une fois cela fait, la commande suivante atteindra le résultat souhaité:
DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>
~ Remplacez "OU = myOU, OU = myUsers, DC = myDomain, DC = loc" par le Distinguished Name de l'unité d'organisation contenant les utilisateurs à modifier
Je veux juste jeter ça là-bas et dire que c'est une horrible idée. Si la nécessité de modifier les mots de passe utilisateur 10K est présente, une réinitialisation en bloc ne devrait pas faire partie du processus. Au mieux, le simple fait de forcer un changement la prochaine fois qu'un utilisateur se connectera empêcherait le gigantesque trou de sécurité que vous ouvrez.
Voici une variante PowerShell à ajouter au mix. Exécutez-le à partir des modules Active Directory pour Windows Powershell. Notez que le mot de passe doit répondre à toutes les exigences (longueur, complexité, etc.) spécifiées par la stratégie de domaine.
Les éléments que vous devrez modifier dans ce cas sont le paramètre -SearchBase
Et le paramètre -NewPassword
.
Utilisez Import-Module ActiveDirectory
Pour ajouter les modules Active Directory dans le PowerShell par défaut.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)
Pour voir quels utilisateurs cela affectera avant d'exécuter la commande ci-dessus, exécutez cette commande pour vous donner une liste des comptes affectés.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name
Je pense que la réinitialisation en masse des mots de passe 10k n'est pas une bonne idée. Nous pouvons simplement choisir l'option "modifier à la prochaine connexion". Cela garantira que nous ne violons aucune politique ou processus de sécurité de l'information. GN