使用Active Directory(AD)中的Manager属性重置密码
创建验证2019冠状病毒疾病的密码,对组织来说是一个挑战,特别是由于COVID-19全球流行,许多工作已经改变。
随着针对企业的网络攻击数量爆炸式增长,而泄露的凭据往往是罪魁祸首,企业必须通过重置用户帐户密码来加强安全性。
组织如何加强远程工作者密码重置的安全性?一个安全工作流程可能涉及在IT帮助台技术人员更改远程工作人员的密码之前获得经理批准。这样,用户的经理就参与到了这个过程中。
此外,一些组织可能会选择允许经理自己更改最终用户密码。如何在Active Directory中进行配置?此外,是否有更无缝的解决方案来要求经理批准密码重置?
为什么密码重置安全性至关重要
过去的一年无疑带来了许多IT帮助台员工的挑战,包括支持主要由远程员工组成的劳动力。与远程员工相关的困难之一是密码重置带来的安全挑战。
网络罪犯越来越多地使用身份攻击来破坏环境。它通常为环境提供“阻力最小的路径”。如果有效凭据遭到破坏,这通常是攻击和破坏关键业务数据和系统的最简单方法。
随着员工远程工作,支持帐户解锁和密码更改的IT帮助台技术人员不再与“在”内部环境中工作的员工进行面对面交流。
组织可能足够大,以至于IT技术人员可能不认识每个远程工作的员工。它引入了攻击者模仿合法员工和社会工程帮助台员工重置合法帐户密码的可能性。
此外,最终用户客户端设备受损可能会导致最终用户帐户的非法密码重置。
认识到当今组织面临的新身份威胁,IT管理员可能希望获得管理层对员工帐户密码重置的批准。这项任务甚至可以委托给在其部门工作的最终用户的经理。如何使用Active Directory中的内置功能快速配置部门经理重置的密码?
正在委派Active Directory中的密码重置权限
Microsoft Active Directory包含一个允许授权允许某些用户或组执行非常精细的任务。这些任务包括密码重置。要配置密码重置权限的委派,您可以执行以下过程。
 |
| 开始在Active Directory中配置代理控制选项 |
它启动了委托控制向导,首先允许选择要分配权限的用户或组。点击这里Add… to add a user or group. We have already added the group shown below – DLGRP_密码重置,在Active Directory中创建的域本地组。作为最佳实践,最好使用组来管理权限委派。它允许快速轻松地添加或删除特定用户,而无需每次都通过权限委派向导。
 |
| 选择将承担权限的用户和组 |
上要委派的任务屏幕下委派以下常见任务选择重置用户密码并在下次登录时强制更改密码选项.点击下一个.
 |
| 选择重置用户密码并在下次登录时强制更改密码选项 |
完成委托控制向导。
 |
| 完成委托控制向导 |
分配管理员重置密码
使用上述流程,管理员可以将管理员添加到授予重置密码权限的组中。它允许指向特定的用户或组来授予重置密码的权限。
如前所述,在Active Directory中创建权限委派时,将其分配给组始终是最佳做法,即使您将权限委派给一个用户。这样做可以使权限委派的生命周期管理更易于管理。
然而,在这种情况下,Active Directory组资源是相当静态的。在Microsoft Exchange Server和动态分布组,Active Directory没有内置的本机创建方式动态 安全组织基于Active Directory属性填充的。
有没有办法动态安全组在Active Directory中使用脚本方法?是的,有。使用PowerShell和收肌cmdlet和其他一些与Active Directory相关的PowerShell cmdlet,您可以有效地查询Active Directory中包含特定特征的用户,然后从特定组中添加或删除这些用户。
您可以创建自定义PowerShell脚本来实现这一点。不过,有几个资源可以让您快速了解定制的PowerShell脚本,以便根据用户位置、属性和其他功能从安全组中添加和删除用户。
让我们考虑一个与密码重置的管理批准相关的用例。假设您想授予管理员重置密码的权限。在这种情况下,您可以结合委派向导执行一些PowerShell脚本编写,并有一个自动过程,将管理器从Active Directory添加到配置为密码重置的组中。
请注意以下PowerShell资源:
- ShadowGroupSync-Github
- Windows OSHub动态安全组示例
下面是一个基于Windows OSHub代码的示例,说明如何使用PowerShell并在标题属性
您可以将上述PowerShell脚本计划为按计划的时间间隔运行,并执行计划任务,以动态地向组中添加或删除用户委派的密码重置权限。
Specops-uReset–;密码重置管理器批准的更好方法
Specops软件提供了一种更好的自动化方法,使管理员能够批准密码重置。Specops uReset是一个功能齐全的自助密码重置(SSPR)解决方案,允许最终用户安全地重置密码。
此外,通过Specops uReset,您可以添加经理身份.当用户使用管理员身份进行身份验证时,身份验证请求将以文本消息或电子邮件通信的形式发送给其管理员。然后,用户经理必须确认用户的身份,以批准密码重置请求。
由于涉及两个人,它极大地增强了密码重置功能的安全性。它还有助于为密码重置请求和审核跟踪提供更改控制工作流。
SPECOP使用经理批准需要两个要求:
- 每个用户帐户必须在Active Directory中为他们分配管理器.
- 每个经理帐户必须有一个与其在Active Directory中的帐户关联的电子邮件地址/移动电话号码,以便能够接收用户的身份验证请求。
要将使用PowerShell的管理器分配给所有Active Directory组成员,可以使用以下PowerShell代码。
get aduser-filter“部门-eq‘会计’-和samaccountname | set aduser-经理jdoe
在Specops-uReset管理中身份识别服务配置,您可以配置经理身份。您可以在电子邮件和文本通知之间进行选择。
 |
| 在Specops集合中配置管理器标识 |
收尾
保护密码重置是安全组织为保护远程最终用户帐户而需要解决的一个关键领域。虽然可以使用脚本化的PowerShell方法来创建动态Active Directory安全组,但维护起来可能会有问题,而且扩展性不好。
Specops uReset提供了一种简单的方法,通过附加的安全检查(如经理批准)实现自助密码重置(SSPR)。使用Specops uReset,企业可以轻松地要求经理批准最终用户的密码重置请求。
