저는 조직의 개발자이지만 Active Directory의 OU에있는 10k 전자 메일 사용자의 암호를 재설정하는 작업을 수행했습니다. 적절한 권한을 부여받은 후 다음 TechNet article 을 보냈지 만 어디에서 실행할지 또는 정확히 어떻게 작동하는지 잘 모르겠습니다. 이 질문이 너무 모호한 경우 사과드립니다. 그러나 다른 곳에서 물어볼 수 있는지 잘 모르겠습니다 (조직의 sysadmin에게 문의하지만 응답하는 데 시간이 오래 걸림). 누군가이 cmdlet의 기능과 실행 방법에 대해 설명해 줄 수 있습니까?
답변
그것보다 훨씬 쉽습니다. AD DS 도구를 사용할 수 있도록 워크 스테이션 OS의 특징에 따라 원격 서버 관리 도구를 설치하십시오 . 올바른 도구 세트를 사용하려면 제어판의 Windows 기능으로 이동하십시오.
이 작업을 완료하면 다음 명령이 원하는 결과를 얻습니다.
DSQUERY user "OU=myOU,OU=myUsers,DC=myDomain,DC=loc" -limit 0 | DSMOD user -pwd <insert new password here>
~ “OU = myOU, OU = myUsers, DC = myDomain, DC = loc” 를 변경할 사용자가 포함 된 OU의 distinguishedName으로 바꿉니다.
답변
나는 이것을 이것을 밖으로 던져 버리고 이것이 끔찍한 생각이라고 말하고 싶다. 10K 사용자 비밀번호를 변경해야하는 경우 대량 재설정이 프로세스의 일부가되어서는 안됩니다. 기껏해야 다음에 사용자가 로그온 할 때 변경을 강요하면 엄청난 보안 허점을 막을 수 있습니다.
답변
다음은 믹스에 추가 할 PowerShell 변형입니다. Windows Powershell 용 Active Directory 모듈에서이를 실행하십시오. 암호는 도메인 정책에 지정된 요구 사항 (길이, 복잡성 등)을 충족해야합니다.
여기에서 변경해야 할 것은 -SearchBase매개 변수와 -NewPassword매개 변수입니다.
Import-Module ActiveDirectory기본 PowerShell에 Active Directory 모듈을 추가하는 데 사용 합니다.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)
위 명령을 실행하기 전에 이것이 어떤 사용자에게 영향을 미치는지 보려면이 명령을 실행하여 영향을받는 계정 목록을 제공하십시오.
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Reset Pwd 2,OU=Reset PWD 1,DC=corp,DC=acme-widgets,DC=local" | Ft Name
답변
10k 암호를 대량으로 재설정하는 것은 좋은 생각이 아닙니다. “다음 로그온시 변경”옵션을 선택하면 정보 보안 정책이나 프로세스가 중단되지 않습니다. GN