En años recientes, NIST, Microsoft y otros han estado recomendando que usted no obligue a los usuarios a cambiar sus contraseñas periódicamente. Las rotaciones forzadas de contraseñas pueden en realidad debilitar la seguridad. Eso es porque los usuarios tienen problemas para recordar nuevas contraseñas. Como resultado, a menudo compensar adoptando contraseñas riesgosas o escribir sus contraseñas. Por otro lado, un el restablecimiento de contraseña es crucial si se enfrenta a una violación de datos! En ese caso, todos tienen que cambiar sus contraseñas de inmediato.
Desafortunadamente, Windows no admite directamente el restablecimiento masivo de contraseñas. Aún así, podrías hacer eso. a través de PowerShell. En este artículo, le mostraré cómo solicitar un restablecimiento de contraseña en toda la organización. El proceso se divide en 3 pasos principales.
1. Recuperación de una lista de usuarios de Active Directory
El primer paso para usar PowerShell para forzar un restablecimiento de contraseña en toda la organización es obtener una lista de todos los usuarios de la organización. La forma más fácil de hacerlo es usar el cmdlet Get-ADUser.
Desafortunadamente, ingresar Get-ADUser por sí solo no hará que PowerShell devuelva una lista de usuarios. los cmdlet requiere que agregue un filtro. Si realmente desea que los resultados incluyan a todos los usuarios, lo más fácil es filtro basado en el nombre de usuario. Luego, use un asterisco para designar un valor comodín (para que PowerShell devuelva todos los nombres). Para ello, sigue estos 4 pasos:
- Inicie sesión con una cuenta que tenga permisos de administrador de dominio.
- Abra una sesión de PowerShell elevada.
- Asegúrese de que el módulo ActiveDirectory de PowerShell esté instalado si no está trabajando en un controlador de dominio. Puede comprobar el estado del módulo mediante el cmdlet Get-Module. Si es necesario, puede instalar el módulo requerido con el cmdlet Install-Module.
- Introduzca el siguiente comando:
| Get-ADUser -Filter «Nombre -Como ‘*'» |
Una palabra sobre el filtrado
La técnica que se muestra arriba recuperará una lista de todas sus cuentas de usuario de Active Directory. Sin embargo, por lo general es un mala idea forzar un restablecimiento de contraseña en cada cuenta. Por ejemplo, las organizaciones a menudo tienen una cuenta de cristal roto. Puede usar esta cuenta en emergencias para recuperar el acceso a la red después de un bloqueo accidental. Probablemente no sea necesario forzar un restablecimiento de contraseña en una cuenta de cristal roto. De hecho, estas cuentas generalmente ya tienen contraseñas extremadamente seguras y solo se usan en emergencias extremas. El punto es que debes considerar cuidadosamente Si alguna las cuentas deben ser excluidas de un restablecimiento de contraseña forzado.
Ahora que tiene su lista de usuarios, también debe considere qué cuentas excluirá. Te mostraré cómo.
2. Exclusión de una cuenta
Para excluir una o más cuentas de un restablecimiento de contraseña, usaría diferentes técnicas. Depende del número y la ubicación de esas cuentas y otros factores. Aun así, quería darte una breve ejemplo de cómo puede excluir una cuenta.
Suponga por un momento que desea excluir la cuenta de administrador del dominio del cambio de contraseña forzado (no estoy sugiriendo esto, esto es solo un ejemplo). Puede excluir al administrador del dominio de la lista de usuarios usando este comando:
| Get-ADUser -Filter “Nombre -NE ‘Administrador’” |
¡Excelente! Ahora, debería tener su lista definitiva de los involucrados en el restablecimiento de contraseña. A continuación, tendrá que poner esto en marcha. Déjame enseñarte como.
3. Forzar un restablecimiento de contraseña
Una vez que haya compilado una lista de cuentas de usuario, forzar un restablecimiento de contraseña es fácil. Simplemente use el cmdlet Set-ADUser. Después, establezca el valor del atributo ChangePasswordAtLogon en $True para las cuentas seleccionadas.
Supongamos por un momento que quisiera forzar un restablecimiento de contraseña para todas las cuentas de usuario cuyos nombres de cuenta comienzan con la palabra usuario. Podría hacerlo usando estos comandos:
| $Usuarios = Get-ADUser -Filter “Nombre -Como ‘Usuario*’”
$Usuarios | Establecer-ADUser -ChangePasswordAtLogon $True |
Al observar el código anterior, notará que el primero de los dos comandos asigna la lista de usuarios a una variable llamada $Usuarios. No necesita hacerlo, pero usando las variables a veces pueden hacer que el proceso sea un poco más fácil. También es útil si necesita configurar varias reglas de filtrado.
Qué salió mal
El código que se muestra arriba puede a veces produce un error. Por ejemplo, algunas cuentas están configuradas para que su contraseña nunca caduque. En otros casos, se impide que el usuario cambie las contraseñas. Puedes evitar estos problemas agregando -CannotChangePassword:$False y -PasswordNeverExpires:$False. Aquí hay un ejemplo:
| $Usuarios = Get-ADUser -Filter “Nombre -Como ‘Usuario*’”
$Usuarios | Set-ADUser -ChangePasswordAtLogon: $True -CannotChangePassword:$False -PasswordNeverExpires:$False |
Puede ver la secuencia de comandos completa en la siguiente figura. Tenga en cuenta que no necesita la segunda línea de código. Solo lo incluí para que pudieras ver la lista de cuentas de usuario para las que estoy forzando un restablecimiento de contraseña. Inicialmente, solo intenté forzar un cambio de contraseña al iniciar sesión. Sin embargo, esto fracasó porque uno o más las cuentas se configuraron con contraseñas que nunca caducan. Para resolver este problema, configuro PasswordNeverExpires y CannotChangePassword a $False.
Pensamientos finales
Un restablecimiento de contraseña de toda la organización no debe tomarse a la ligera. Tampoco debes realizarlo frívolamente. Aun así, puede ser necesario en caso de una brecha de seguridad o una sospecha de incumplimiento. Si no tiene acceso a herramientas de restablecimiento de contraseña de terceros, entonces su mejor opción es use los cmdlets Get-ADUser y Set-ADUser de PowerShell.
De esta manera, incluso puedes excluir algunas cuentas del cambio de contraseñae incluso superar otras restricciones! A su vez, podrá mantener su empresa a salvo de ataques.
¿Tiene preguntas sobre el restablecimiento de contraseña de AD? Revisar la Preguntas más frecuentes y Recursos secciones a continuación!
Preguntas más frecuentes
¿Cuándo forzaría un restablecimiento de contraseña de toda la organización?
Obligar a todos en la organización a cambiar su contraseña es una acción drástica. Normalmente solo haría esto en el caso de una violación de seguridad o una sospecha de violación de seguridad. Si está pensando en realizar esta acción, también debe considerar sus procedimientos de seguridad. Además, implemente múltiples rutas de autenticación para mejorar la seguridad.
¿Debo excluir cuentas de un restablecimiento de contraseña de toda la organización?
Las necesidades de cada organización son diferentes, por lo que no se aplica una respuesta definitiva a cada situación. Sin embargo, debe pensarlo dos veces antes de forzar un restablecimiento de contraseña en las cuentas de servicio. Si lo hace, las aplicaciones podrían dejar de funcionar. También debe excluir las cuentas de cristal roto cuando sea posible.
¿Qué tipos de modificaciones podría necesitar una organización para realizar un script de restablecimiento de contraseña?
Además de excluir potencialmente ciertas cuentas, la mayor modificación que podría ser necesaria es agregar soporte para dominios adicionales o bosques de confianza. Para hacer esto, ejecute un script de PowerShell. Luego, aplique los cambios globalmente, asumiendo que está tratando con un solo bosque de dominio. Para varios dominios, deberá ejecutar varios scripts.
¿Cuáles son las implicaciones de usar PowerShell para restablecer contraseñas en entornos de SSO?
Puede implementar SSO de muchas maneras diferentes. Si Active Directory actúa como el proveedor de identidad principal, primero deberá establecer una lista de usuarios. Luego, excluya las cuentas que deben excluirse de la GUI. De lo contrario, su secuencia de comandos podría romper su SSO.
¿Puedo forzar manualmente un restablecimiento de contraseña sin PowerShell?
Sí. Puede hacer clic con el botón derecho en una cuenta de usuario en la consola Usuarios y equipos de Active Directory. Luego, seleccione el comando Restablecer contraseña en el menú contextual. Desafortunadamente, esta consola no admite restablecimientos masivos de contraseñas, por lo que deberá hacerlo una cuenta a la vez. Para empresas más grandes, aprenda PowerShell. También es útil para otras tareas de administración global.
Recursos
TechGenix: artículo sobre autoservicio de restablecimiento de contraseñas
Aprenda a habilitar el autoservicio de restablecimiento de contraseñas en Azure AD.
TechGenix: Artículo sobre la frustración del usuario final por el restablecimiento de contraseña
Lea más sobre cómo lidiar con la frustración del usuario final asociada con el restablecimiento de contraseña.
Microsoft: artículo sobre restablecimiento de contraseña local en Windows 10 y 11
Descubra cómo restablecer contraseñas locales en Windows 10 y 11.
TechGenix: artículo sobre la autenticación sin contraseña
Descubra por qué las organizaciones finalmente adoptarán la autenticación sin contraseña.
Computers N Stuff: artículo sobre cómo restablecer la contraseña de un usuario en AD
Obtenga más información sobre cómo restablecer la contraseña de un usuario en Active Directory.
TechGenix: artículo sobre diferentes métodos de restablecimiento de contraseña
Descubra varias formas adicionales de restablecer las contraseñas de los usuarios.
