none
Как создавать и выдавать пароли в домене Windows Server 2008 автоматически? RRS feed

  • Вопрос

  • Здравствуйте, коллеги!
    Передо мной поставлена задача - организовать создание и выдачу паролей пользователям домена Windows 2008 так, чтобы я их знал. Процесс создания и выдачи должен быть максимально автоматизирован, в нем максимально не должны участвовать пользователи и процесс должен быть непрерывным (у любого пользователя пароль не должен жить больше 3 месяцев). Создание паролей должно соответствовать политике (не менее 8 символов и т.д.). Может быть кто то имеет опыт по настройке такой системы? Поделитесь, пожалуйста, идеями.
    21 марта 2017 г. 13:32

Ответы

  • Каждый день через шедуллер скриптом проходитесь по пользователям домена, выгребаете тех у кого пароль не менялся последние 3 месяца, для каждого из этих пользователей генерируете пароль согласно требований (есть овер 100500 решений по генерации пароля на скрипт центре), после чего пароль меняется на сгенерированный, дальше отправляете письмо самому себе с логином \ паролем на почту.

    Все куски кода многократно обсуждались на просторах этого форума, а некоторые лежат готовые на скрипт центре


    The opinion expressed by me is not an official position of Microsoft


    22 марта 2017 г. 7:25
    Модератор

Все ответы

  • Здравствуйте, коллеги!
    Передо мной поставлена задача - организовать создание и выдачу паролей пользователям домена Windows 2008 так, чтобы я их знал. Процесс создания и выдачи должен быть максимально автоматизирован, в нем максимально не должны участвовать пользователи и процесс должен быть непрерывным (у любого пользователя пароль не должен жить больше 3 месяцев). Создание паролей должно соответствовать политике (не менее 8 символов и т.д.). Может быть кто то имеет опыт по настройке такой системы? Поделитесь, пожалуйста, идеями.

    Ваша задача заставляет неистово вращаться множество мертвых представителей информационной безопасности. Политики не имеют никакого смысла если все пароли все равно будут известны одному человеку, а так как человек не способен в голове держать десятки логин\паролей еще и обновляемых то вся инфа о предприятии будет храниться в эксельке, что сводит безопасность на корню. Если задача стоит именно так то отключите парольную политику или поставьте Password Newer Expiares флаг.

    На скрипт центре есть с пол сотни скриптов которые генерируют пароли, так же на форуме не трудно будет найти как пароль через Powershell установить


    The opinion expressed by me is not an official position of Microsoft




    21 марта 2017 г. 13:40
    Модератор
  • "организовать создание и выдачу паролей пользователям домена"

    Тогда и домен-то не нужен. Или один пароль на всех сделайте сразу, 1234567 и вперед.

    21 марта 2017 г. 15:50
    Отвечающий
  • Ха-ха-ха! Очень смешно! Если было бы всё так просто, то я бы тут вообще не стал писать и спрашивать мнения.

    Пароли знать необходимо потому что необходим вход администратора в машину пользователя в его отсутствие для выполнения настроек, связанных с КриптоПро. Настройки уничтожаются после операции рекомпоза на виртуальных машинах VMWare. Настройки состоят в том, что устанавливается привязка закрытого ключа с открытым, которая уничтожается рекомпозом и приходится вручную по утрам эти связки восстанавливать пока нет пользователя на рабочем месте.  Какой то скрипт написать по этому поводу невозможно потому что если можно будет копировать такие связки, то грош цена тогда КриптоПро.Конечно проще всего создание паролей отдать на откуп пользователям, но тогда как быть с последствиями рекомпоза? А он нужен так как несет обновление Windows и некоторых программ.

    22 марта 2017 г. 5:22
  • Ха-ха-ха! Очень смешно! Если было бы всё так просто, то я бы тут вообще не стал писать и спрашивать мнения.

    Пароли знать необходимо потому что необходим вход администратора в машину пользователя в его отсутствие для выполнения настроек, связанных с КриптоПро. Настройки уничтожаются после операции рекомпоза на виртуальных машинах VMWare. Настройки состоят в том, что устанавливается привязка закрытого ключа с открытым, которая уничтожается рекомпозом и приходится вручную по утрам эти связки восстанавливать пока нет пользователя на рабочем месте.  Какой то скрипт написать по этому поводу невозможно потому что если можно будет копировать такие связки, то грош цена тогда КриптоПро.Конечно проще всего создание паролей отдать на откуп пользователям, но тогда как быть с последствиями рекомпоза? А он нужен так как несет обновление Windows и некоторых программ.

    То что вы написали в последнем сообщении несколько меняет суть задачи поставленной в вопросе, хотя вопрос по прежнему выглядит странно.

    Вам нужно не доменные пароли менять я правильно понял, или все же доменные?

    Если доменные то решение описано выше, если вам нужно менять связки паролей на конечных хостах VDI, то тут без документации по средствам которыми вы пользуетесь и поддержкой со стороны компаний разработчиков не обойтись


    The opinion expressed by me is not an official position of Microsoft

    22 марта 2017 г. 6:46
    Модератор
  • Менять таки придется доменные. В VMWare View используется связка доменные учетные записи - виртуальная машина. Пользователь, входя в домен, получает свою машину от View

    Какое именно решение Вы имеете в виду?

    22 марта 2017 г. 7:17
  • Каждый день через шедуллер скриптом проходитесь по пользователям домена, выгребаете тех у кого пароль не менялся последние 3 месяца, для каждого из этих пользователей генерируете пароль согласно требований (есть овер 100500 решений по генерации пароля на скрипт центре), после чего пароль меняется на сгенерированный, дальше отправляете письмо самому себе с логином \ паролем на почту.

    Все куски кода многократно обсуждались на просторах этого форума, а некоторые лежат готовые на скрипт центре


    The opinion expressed by me is not an official position of Microsoft


    22 марта 2017 г. 7:25
    Модератор
  • Спасибо! А можно ссылку на скрипт центр?
    22 марта 2017 г. 10:51
  • Пожалуйста, вот ссылка.
    22 марта 2017 г. 10:54
    Отвечающий
  • Спасибо! А можно ссылку на скрипт центр?

    https://gallery.technet.microsoft.com/

    гугление по слову PassWord должен дать требуемый результат


    The opinion expressed by me is not an official position of Microsoft

    22 марта 2017 г. 11:08
    Модератор