Как выбрать замок на входную дверь 
Всю роль проноет, к тому же она стара 
Покушение на Трампа в Пенсильвании. В США даже в президентов стрелять уже 
годовщинка 
ДОБАВКА 
8 июля / 21 июля 1893 г. Введена винная монополия 
Герой прошлой войны 
МотоТаня разбилась в Турции. 
«Касперский» сделал американцам щедрый прощальный подарок Премьер-министр Биньямин Нетаниягу, получивший ответ ХАМАСа по поводу ...
Как массово обмануть включенную галку PasswordNeverExpires при внедрении парольной политики
ru_sysadmins — 10.11.2015
Вот представим себе - вам нужно срочно внедрять свежую парольную
политику в AD (сложность паролей там, помнить 24 и не повторяться,
менять через 60-90 дней и так далее). А у вас там 3000 учеток, и у
всех почему-то PasswordNeverExpires включено, причем давность
изменения паролей от месяца до 7 лет. Чо делать?Вот статьи например:
https://social.technet.microsoft.com/Forums/windowsserver/en-US/9c3caa80-9e97-4808-96a8-5af696aaa7b3/pwdlastset-possible-to-change-?forum=winserverDS
Точнее вот:
https://social.technet.microsoft.com/Forums/fr-FR/6622c897-c460-41ce-a237-a6eabff3ca12/why-cant-i-set-pwdlastset-with-setaduser?forum=winserverpowershell
https://community.spiceworks.com/how_to/29586-active-directory-how-to-reset-password-expiration-date
Можно просто убрать искомую галочку, но тогда все учетки заблочатся по просрочке.
Но можно обмануть систему)
Аттрибут PwdLastSet в AD можно менять вручную только на 2 значения, как я понял.
0 = пароль учетки сразу истекает
-1 = в аттрибут автоматом записыватся текущий timestamp и у учетки есть впереди 60-90 дней на смену пароля, согласно политики.
Текст скрипта (предварительно можно скачать командлеты Quest for AD, так удобнее)
Add-PSSnapin Quest.ActiveRoles.ADManagement
import-module activedirectory
#получаем имена SAM из списка DisplayName (список нужных учеток уж сами как-то получите)
$Data = ForEach ($User in (Get-Content "C:\_temp\DN.csv")) { Get-QADuser $User | Select SamAccountName}
$Data | Export-CSV "C:\_temp\SAM.csv" -NoTypeInformation
#потом в файле SAM.csv вручную убрать кавычки.
#и ессно сохранять всё в Unicode, через Блокнот например
ТЕКСТ СКРИПТА:
import-module activedirectory
$users = Get-Content "C:\_temp\SAM.csv"
#$users = "ivan.ivanov"
#для теста одиночной учетки
foreach ($user in $users)
{
$username = Get-ADUser -identity $user
$uObj = [ADSI]"LDAP://$username"
$uObj.put("pwdLastSet", 0)
$uObj.SetInfo()
$uObj.put("pwdLastSet", -1)
$uObj.SetInfo()
Get-ADUser -identity $user | Set-ADUser -PasswordNeverExpires $false
}
Сохранено
|
|
</> |
Как массово обмануть включенную галку PasswordNeverExpires при внедрении парольной политики
Оставить комментарий
Популярные посты:
Архив записей в блогах:
Сегодня в New York Times вышла статья, описывающая как система деления на 50 отдельных штатов тормозит экономическое и инфраструктурное развитие в США. Авторы предлагают разделить огромную страну всего на семь супер-регионов: На заре американского госурарства, колонии, которые вошли в ...
Некоторые русские - из категории так называемых сталинистов - как правило, максимально одобрительно отзываются именно о своих кумирах - уроженцах Кавказа. Буквально до фанатизма, ведь Сталин для них - это, фактически, безгрешное и гениальное высшее существо. Кто-то типа бога. Не случайно ...
Повадились тут последние несколько недель какие-то чудаки на букву "м" звонить на мои телефоны (и мобильный, и дочкин, и даже домашний). Средней приятности женским голосм автоотвечик сообщает, что, мол, возрадуйся, друг, твой номер был случайно выбран, и тебе причитается аж цельная ночь в ...
Это Шуша мне сегодня показала свой тайник с игрушками под креслом А я всё думала - куда она подевала их все??? ...
