Czy potrzebujesz listy kont użytkowników z ustawionym hasłem, które nigdy nie wygasa?
Można to zrobić za pomocą PowerShell i konsoli użytkowników Active Directory. Pokażę Ci dokładne kroki, aby wyświetlić listę tych kont.
Ustawienie hasła konta użytkownika tak, aby nigdy nie wygasało, nie jest zalecane i może stanowić zagrożenie dla bezpieczeństwa. W przypadku zwykłych kont użytkowników najlepszą praktyką jest posiadanie zasad dotyczących haseł, które wymagają od użytkowników zmiany hasła po pewnym czasie (często trwa to od 60 do 90 dni).
Są sytuacje, w których nie można tego uniknąć, na przykład przy użyciu konta usługi. Wielu dostawców wymaga, aby konto działało jako konto usługi z hasłem, które nie wygasa. Administratorzy usługi Active Directory powinni przeprowadzać regularne prace konserwacyjne w usłudze Active Directory, aby znaleźć te potencjalnie ryzykowne konta.
Konserwacja powinna obejmować wyszukiwanie wyłączonych kont użytkowników, nieużywanych komputerów lub kont użytkowników oraz haseł, które mają nigdy nie wygasać. Te zidentyfikowane konta powinny zostać zabezpieczone lub usunięte, w zależności od zasad Twojej organizacji. W tym poście przedstawiono trzy różne metody wyświetlania kont użytkowników, których hasło nigdy nie wygasa.
Filtry konsoli Active Directory
W tym przykładzie użyję typowych zapytań z konsoli ADUC, aby wyświetlić listę wszystkich użytkowników, których hasło nigdy nie wygasa.
Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.
Kliknij przycisk wyszukiwania na pasku narzędzi.
W oknie Znajdź typowe zapytania wybierz Typowe zapytania i cały katalog. Zaznacz pole „Hasła niewygasające” (Non Expiring Password) i kliknij przycisk Znajdź teraz (Find now).
Wyszukiwanie zwróciło trzy przykładowe konta, których hasło nigdy nie wygasa.
Pokaż konta, których hasła nie wygasają – PowerShell
W tym przykładzie użyję polecenia cmdlet programu PowerShell search-ADaccount.
Otwórz PowerShell.
Wpisz poniższe polecenie i naciśnij enter.
|
1 |
Search-ADAccount -PasswordNeverExpires | FT Name,ObjectCkass -A |
Możesz także użyć polecenia cmdlet get-aduser, aby uzyskać podobne wyniki.
|
1 |
get-aduser -filter * -properties Name, PasswordNeverExpires | where { $_.passwordNeverExpires -eq "true" } |
Powyższe polecenie przefiltruje wszystkie konta użytkowników pod kątem atrybutu PasswordNeverExpires i wyświetli tylko tych użytkowników, którzy mają ustawioną wartość true.
Podsumowanie
Dwa szybkie podejścia, aby pokazać użytkowników w Active Directory, dla których hasło nie wygasa.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
Jest szansa na artykuł lub film jak postawić serwer domeny i dodać inne komputery do domeny ? Wiem ze w sieci są materiały o tym, ale Ty świetnie tłumaczysz.
Coś pomyślę, jednak może to chwilę zająć.