Jak znaleźć użytkowników domenowych ze starymi hasłami?

Jak znaleźć użytkowników domenowych ze starymi hasłami?

Stare hasła (ang. “stale passwords”), czyli hasła nie zmieniane od dawna, to coś, czemu warto się przyjrzeć w swojej sieci. O ile hasła domenowe zazwyczaj domyślnie mają wymuszone zmiany, to powszechnie praktykowane jest pozostawianie kont serwisowych w spokoju (opcja „password never expires” – a to duży błąd. Często są to konta o dużych uprawnieniach i z czasem coraz więcej osób je zna – również osoby, które opuściły firmę. Nietrudno wyobrazić sobie jakie to niesie ze sobą zagrożenie i warto co jakiś czas wymusić ich zmianę. Żeby to zrobić, należy najpierw namierzyć takowe konta.

Jak to uczynić? Polecam DSQUERY z Microsoft-owego zestawu Remote Server Administration Tools (RSAT):

RSAT dla Windows 7 | RSAT dla Windows 8

Oto polecenie znajdujące konta, których hasło nie było zmienione od 90 dni i zapisujące wynik w pliku tekstowym:

dsquery user -stalepwd 90 > stare_hasla.txt

Jeśli chcemy skupić się na jakimś konkretnym kontenerze (OU) podajmy ścieżkę LDAP:

dsquery user „dc=konta_serwisowe,dc=spece,dc=it” -stalepwd 90 > stare_hasla.txt

Możemy pójść o krok dalej i znaleźć konta, na których wyłączono zmiane hasła (password never expires):

dsquery * domainroot -filter „(&(objectClass=user) (userAccountControl>=65536))” -attr sAMAccountName userPrincipalName userAccountControl -d twoja_domena

Jeśli chcecie sprawdzić kiedy wypada następna zmiana hasła danego użytkownika domenowego, możecie użyć polecenia:

net user login_użytkownika /domain | find „Password expires”

To samo zadanie można wykonać za pomocą skryptu PowerShell – skrypt znajdziecie w artykule Piotra.

Mając wszystkie te informacje pozostaje Wam już tylko zmiana hasła. Tutaj możecie przeczytać/przypomnieć sobie jak zmienić hasło użytkownika domenowego w wierszu poleceń 🙂

Jeśli znacie jakieś inne ciekawe metody znajdywania kont ze starymi hasłami, zachęcam do komentowania.

Łukasz Skalikow

Obecnie Manager IT. Przez lata byłem Inżynierem systemów. Jestem entuzjastą i specem od vSphere, Windows serwer, GPO. Od zawsze byłem zwolennikiem wiersza poleceń i automatyzacji. Obecnie, ze względu na pracę, rodzinę i wyjazdy służbowe, dużo mniej udzielam się na blogu, ale mam nadzieję, że pośród kilkuset porad opublikowanych na spece.it, wiele osób znajdzie dla siebie coś przydatnego :)

Dodaj komentarz