問題の説明:
自動化されたパスワードの発展に問題エコーパスワードがデフォルトになるか、明示的にユーザーのドメイン内に記録されますリセットのuserPassword フィールド、高リスクのセキュリティリスク。
環境情報:
Windows Serverの2008R2 / 2012R2 / 2016のActiveDirectory
症状:
分析:
コード・ドメイン・チューブ設計の学生と通信の問題の学生が適切にコードとドメインパスワードの変更ロジックを並べ替えることができなかったので。
安全上述の測定方法は、測定が、コード抽出コンテンツと背景の安全危険のように行われず、業務のセキュリティスキャンを含みます。
解決の手順:
1. 本実施形態のユーザ情報のフィルタ現在の平文パスワードフィールド xiaowen アカウント再現例:
Get-ADUser -Identity xiaowen -Properties * | 選択 CN 、会社、部署、説明、表示名、識別名、EmailAddressの、社員、employeeNumberが、メール、マネージャ、名前、SN 、StreetAddress 、タイトル、userPassword属性、UserPrincipalNameをします
2. フィールド敏感アカウント情報分野に関し、我々は、他の又は代替的に敏感なフィールドの内容を空にすることにより文字等として動作します。
この例では、スペースや他の値で埋めエラーの多くに割り当てられた従来の方法では、達成することができます使用し、コンテンツと我々は達成したい、まだ差があります。
例:更新する会社に簡単:(添付の会社フィールド:2つの代替値の方法を:)
割り当ては空です。
Get-ADUser -Identity xiaowenを | セットADUser 球体関節人形 「」
Get-ADUser -Identity xiaowenを | セットADUser -replace @ {会社= "" }
スペースや他の文字で埋め:
Get-ADUser -Identity xiaowenを | セットADUser 球体関節人形 「」
Get-ADUser -Identity xiaowenを | セットADUser -replace @ {社= "1" }
3. 直接割り当てを操作することによって達成することができない、ここで参照書き込みホスト方法は、次のようにいくつかのフィールドは、代わりにNULL値のドメイン環境をサポート見つけようとします:
$company = Write-Host ""
Get-ADUser -Identity xiaowen |Set-ADUser -Company $company
4.同样的方法我们引用到本章节替换明文密码字段,发现为空不行,只能替换成空格或者其他字节信息,如下:
5.通过上边测试的方法我们发现始终实现不了密码字段清空的操作,最终只能变换操作方法,终于功夫不负有心人,通过-clear完成清理操作,如下:
Get-ADUser -Identity xiaowen -Properties * |select Samaccountname,name,userPassword
Get-ADUser -Identity xiaowen -Properties * |Set-ADUser -Clear userpassword
6.在测试过程中我们发现,通过-clear可以快速清空用户自完善或者非系统属性信息。
PS.Set-ADUser ** -clear システムをクリーンアップすることができませんでしドメインアカウントである必要がありますプロパティまたはプロパティが付属しています。
添付ファイル:クイックプレーンテキストのパスワードフィールドスクリプトでユーザー情報の一覧をクリーンアップ:
インポート、CSV C:\ user.csv | ForEach-Objectに{セットADUser -Identity $ _。SAMアカウント-ClearのuserPassword}
マイクロチャンネル公衆番号へようこそ注意:ブリッツYanxishe
