OU内のすべてのユーザーのパスワードを一括リセットするにはどうすればよいですか?

14

私は自分の組織の開発者ですが、Active DirectoryのOU内の1万人の電子メールユーザーのパスワードをリセットする仕事をしました。適切なアクセス許可が与えられた後、次のTechNet記事を送信しましたが、これをどこで実行するのか、どのように機能するのかはわかりません。この質問があいまいすぎる場合は申し訳ありませんが、他にどこで質問できるかわかりませんでした(組織のシステム管理者に尋ねますが、回答にはしばらく時間がかかります)。誰かがこのコマンドレットが正確に何をするのか、これをどのように実行するのかについての概要を教えてもらえますか?

active-directory 
クリストファー・ガルシア
ソース
3
すべて同じパスワードですか、それともすべて異なるパスワードが必要ですか?私はあなたが認識しているんだとして、同じパスワードを使用して、10Kのユーザーが...世界で最も偉大なアイデアではありません
ベンPilbrow
すべて同じパスワード。私たちのシナリオではたまたま動作しますが、これが逆に聞こえる方法を理解しており、ユーザーは次回ログオン時にパスワードを変更します。
クリストファーガルシア

回答:

28

それよりずっと簡単です。AD DSツールを入手するには、(ワークステーションOSのフレーバーに応じて)リモートサーバー管理ツールをインストールします。正しいツールセットを有効にするために、コントロールパネルのWindows機能に移動することを忘れないでください。

それが完了したら、次のコマンドで目的の結果が得られます。

DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>

「OU = myOU、OU = myUsers、DC = myDomain、DC = loc」を、変更するユーザーを含むOUのdistinguishedNameに置き換えます

イジー
ソース
PowerShellのActive Directoryモジュールでこれを行いますか?
クリストファーガルシア
2
izzyのソリューションは、通常のol 'cmd.exeコマンドシェルから動作します:)
cheeseprocedure
「OU = Users、OU = External Users、DN = ourdomain、DN = org」のように文字列を置き換えてコマンドを実行しましたが、次のエラーが表示されます。 」
クリストファーガルシア
気にせず、読み返してください。DNの代わりにDCを使用することになっていたようです。理由がわからない、誰もが説明できれば私は感謝するだろう。皆様のご協力に感謝します。:)
クリストファーガルシア
1
DNは「識別名」の略で、ディレクトリツリー内のオブジェクトを一意に識別する方法です。DCは「ドメインコンポーネント」、組織単位のOU、および共通名のCNの略です。DNは、DC、OU、およびCNの部分で構成されています。ユーザーと呼ばれる、ジョーBloggs' DNは次のようになり、あなたのドメインがcorp.acme-widgets.localで、ジョーBloggsはOUにOUにあるセールスと呼ばれている場合CN=Joe Bloggs,OU=Sales,OU=Users,DC=corp,DC=acme-widgets,DC=local
ベンPilbrow
5

これを捨てて、これは恐ろしいアイデアだと言いたいだけです。10Kのユーザーパスワードを変更する必要がある場合、一括リセットはプロセスの一部ではありません。せいぜい、ユーザーが次にログオンするときに変更を強制するだけで、開いている巨大なセキュリティホールを防ぐことができます。

ダンビッグ
ソース
コミュニティWikiの回答である必要があります
Izzy
一意のパスワードを使用している場合、つまり、社会保障番号や会社に知られている他の個人情報にパスワードをリセットする場合、一括リセットは必ずしもひどい考えではありません。ただし、1万個のアカウントを同じパスワードにリセットすることは、ひどい考えです。パスワードが変更されるまでアカウントがメールのチェックからロックアウトされない限り、パスワードの変更を強制することで同じことを達成する方法がわかりません。
ジェームズバーネット
私たちのケースでは、他の人のアカウントを使用していることがわかっているため、すべてのユーザーに対して同じパスワードに一括リセットを行います(彼らはそれを知りません)。そのため、パスワードが機能しない場合、彼らは電話をかけます、そして、私たちは彼らが誰であるかを確認します
...-ガンダー
4

ミックスに追加するPowerShellバリアントを次に示します。これをWindows Powershell用のActive Directoryモジュールから実行します。パスワードは、ドメインポリシーで指定された要件(長さ、複雑さなど)を満たす必要があることに注意してください。

これで変更する必要があるのは、-SearchBaseパラメーターと-NewPasswordパラメーターです。

Import-Module ActiveDirectoryActive DirectoryモジュールをデフォルトのPowerShellに追加するために使用します。

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)

上記のコマンドを実行する前に、これがどのユーザーに影響するかを確認するには、このコマンドを発行して、影響を受けるアカウントのリストを表示します。

Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name

ベン・ピロー
ソース
0

1万個のパスワードを一括リセットすることはお勧めできません。「次のログオン時に変更」オプションを選択するだけで、情報セキュリティのポリシーやプロセスに違反しないことが保証されます。おやすみなさい

ユーザー475814
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.