W tym wpisie dowiesz się, jak ustawić lub wyłączyć opcję zmiany hasła przy następnym logowaniu dla kont użytkowników Active Directory. Pokażę Ci, jak zmienić to ustawienie za pomocą PowerShell. Warto również wiedzieć, jak wymusić zmianę hasła przy następnym logowaniu dla wielu kont użytkowników.
Ręczne wymuszenie zmiany hasła
W przypadku pojedyńczego konto, wystarczy przejść na konto użytkownika. Następnie na zakładce Account, w sekcji Account options, zaznacz opcje: User must change password at next logon.
Wymuszenie zmiany hasłą przy ponownym logowaniu konkretnych użytkowników z pliku .csv
Jeżeli chcesz wymusić zmianę hasła dla większej liczby użytkowników, warto przygotować ich listę w pliku .csv. Wystarczy, że w pliku będzie jedna kolumna, która musi zostać opisana (nagłówek) jako Username. Skrypt pobierze listę użytkowników z pliku, następnie przejdzie po wszystkich tych kontach, aby zmienić status i wymusić zmianę hasła przy następnym logowaniu. Jeżeli takie konta mają nie mieć wymuszenia zmiany hasła, parametr -ChangePasswordAtLogon $true należy zmienić -ChangePasswordAtLogon $false.
|
1 2 3 4 5 6 7 8 9 10 |
# Wczytaj użytkowników z pliku CSV $usersData = Import-Csv -Path "c:\AdUsers.csv" # Iteruj przez każdego użytkownika i ustaw flagę wymuszenia zmiany hasła foreach ($userData in $usersData) { $username = $userData.Username Set-ADUser -Identity $username -ChangePasswordAtLogon $true } Write-Host "Wymuszono zmianę hasła przy następnym logowaniu dla użytkowników z pliku CSV." |
Skrypt, który wymusza zmianę hasła dla wszystkich użytkowników Active Directory
W przypadku incydentu związanego z bezpieczeństwem może być konieczne zażądanie od wszystkich użytkowników zmiany hasła przy następnym logowaniu. Najłatwiej będzie wykorzystać poniższy skrypt w PowerShell. Skrypt pobierze wszystkich użytkowników z Active Directory. Następnie przejdzie po ustawieniach każdego z nich, aby wymusić zmianę hasła przy następnym logowaniu (-ChangePasswordAtLogon $true), zmiana parametru na $false, nie pozwoli na wymuszenie zmiany hasła.
|
1 2 3 4 5 6 7 8 9 |
# Pobierz wszystkich użytkowników z domeny Active Directory $users = Get-ADUser -Filter * -Properties * # Iteruj przez każdego użytkownika i ustaw flagę wymuszenia zmiany hasła foreach ($user in $users) { Set-ADUser -Identity $user.SamAccountName -ChangePasswordAtLogon $true } Write-Host "Wszystkim użytkownikom domeny Active Directory została wymuszona zmiana hasła przy następnym logowaniu." |
Podsumowanie
Przy kilku użytkownikach, zmiana hasła zajmie kilka minut, jednak przy kilkuset czy tysiącach? Tutaj przychodzi z pomocą PowerShell, który w kilka sekund zmieni status kont i pozwoli na zabezpieczenie bazy organizacji po włamaniu.
Dziękuję Ci, za poświęcony czas na przeczytanie tego artykułu. Jeśli był on dla Ciebie przydatny, to gorąco zachęcam Cię do zapisania się na mój newsletter, jeżeli jeszcze Cię tam nie ma. Proszę Cię także o “polubienie” mojego bloga na Facebooku oraz kanału na YouTube – pomoże mi to dotrzeć do nowych odbiorców. Raz w tygodniu (niedziela punkt 17.00) otrzymasz powiadomienia o nowych artykułach / projektach zanim staną się publiczne. Możesz również pozostawić całkowicie anonimowy pomysł na wpis/nagranie.
Link do formularza tutaj: https://beitadmin.pl/pomysly
Pozostaw również komentarz lub napisz do mnie wiadomość odpisuję na każdą, jeżeli Masz jakieś pytania:).
