none
PowerShell автоматическая смена паролей с парольными фразами в домене.

    Вопрос

  • Здравствуйте, назрел следующий вопрос:

    Имеем домен в котором порядка 300 пользователей. Политикой задано бесконечное время жизни паролей, пароли устанавливались вручную используя Vipnet password generator в котором генерировались пароли из трех парольных слов (фраз) из которых брались первые три буквы от слова например фраза " гусь погубил вруна" значит пароль был гуспорвру, только в английской раскладке. так пользователям было легко запоминать свой пароль.

    Задача собственно следующая: установить время жизни пароля например 6 месяцев, и что бы новый пароль генерировался не сразу у всех 300 пользователей одновременно, а например если привязать смену пароль исходя из даты создания пользователя, она у все разная получается. И далее скрипт рассылал пароль на 3 разных email. 

    Что-то подобное рыл в интернете, но там получается смена пароля у всех пользователей одновременно, что нельзя допускать и вторая проблема, возможно ли как-то генерировать пароли с парольными фразами?, а не просто набором букв.

    Натолкните пожалуйста на путь правильный, куда копать? 

    13 марта 2018 г. 9:02

Ответы

  • почему бы пользователям не генерить пароли самостоятельно?

    в вашем сценарии пароль может быть известен вам, пользователю и администраторам 3х почтовых серверов - что означает полную компрометацию всех паролей.

    генерить пароли не проблема по любым правилам просто если вы хотите нечто полобное с тем что у вас есть сейчас 3 буквы из 3х слов - вам придется писать решение под себя.

    для начала стоит сформировать или найти словарь, и по словарю проходится выдирая нужные буквы нужное количество раз.

    что же до привязки к созданию учетки вам в шедуллере стоит создать задачу со скриптом которая сможет выбирать пользюков по createddate параметру. Думаю что в справке по get-aduser может быть похожий пример.

    p.s. если у вас к примеру сотня пользователей которые знают правило формирования паролей (что в вашем случае не сложно), то каждый из них при помощи простого пошевского скрипта перебором может найти 20-30 паролей за выходные это если не сильно повезет


    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 14 марта 2018 г. 8:11
    • Помечено в качестве ответа KazunEditor 16 марта 2018 г. 5:57
    13 марта 2018 г. 13:19
    Модератор

Все ответы

  • почему бы пользователям не генерить пароли самостоятельно?

    в вашем сценарии пароль может быть известен вам, пользователю и администраторам 3х почтовых серверов - что означает полную компрометацию всех паролей.

    генерить пароли не проблема по любым правилам просто если вы хотите нечто полобное с тем что у вас есть сейчас 3 буквы из 3х слов - вам придется писать решение под себя.

    для начала стоит сформировать или найти словарь, и по словарю проходится выдирая нужные буквы нужное количество раз.

    что же до привязки к созданию учетки вам в шедуллере стоит создать задачу со скриптом которая сможет выбирать пользюков по createddate параметру. Думаю что в справке по get-aduser может быть похожий пример.

    p.s. если у вас к примеру сотня пользователей которые знают правило формирования паролей (что в вашем случае не сложно), то каждый из них при помощи простого пошевского скрипта перебором может найти 20-30 паролей за выходные это если не сильно повезет


    The opinion expressed by me is not an official position of Microsoft


    • Изменено Vector BCOModerator 14 марта 2018 г. 8:11
    • Помечено в качестве ответа KazunEditor 16 марта 2018 г. 5:57
    13 марта 2018 г. 13:19
    Модератор
  • Спасибо, а если мы опустим вопрос про парольные фразы, подскажите как мне сделать так, что бы при включении политики паролей, у всех одновременно в домене они не запрашивались, я так понимаю после включения политики сразу на всех учетках будет предлагать создать новый пароль? 
    19 марта 2018 г. 11:50