如何审核Active Directory中的密码更改

今天的管理者们肯定有很多事情要做，加强生态系统安全仍然是首要任务。内部（尤其是远程）帐户是访问关键信息的网关。

密码管理使这成为可能。毕竟，身份验证应该确保用户就是他们声称的用户。这一初始安全层对于保护整个基础设施至关重要。

不幸的是，密码的个人性质有其缺点。密码很容易被忘记。它们也可能过于简单化；许多公司没有强制执行严格的密码创建要求。这就是Active Directory密码策略的用武之地。

此外，还可以实现以下目标：

• 更改用户密码
• 记录密码更改并将其存储在历史日志中

Active Directory帐户用于跨用户帐户进行任何有影响的更改。我们将评估管理员为什么以及如何利用这些核心功能。

为什么要更改用户密码？

我们已经触及了许多密码更改最无害的原因：健忘。由于多种原因，用户可能无法记住登录凭据。经过验证（或快速帮助台聊天），Active Directory管理员可以快速恢复帐户访问权限。否则，生产率可能会受到影响。

安全是另一个驱动因素，尽管有三个不同的方面。首先，基础设施受到许多威胁。攻击、数据泄露和不充分的保护措施可能会使密码暴露在窥探者的视线之下。更改泄露的密码可以阻止坏人。

第二，尽管存在密码要求，但给定的密码可能有点容易猜测。对于试图猜测密码或发起暴力攻击的外部人员，员工可能会使用被视为“低效”的术语。例如，苹果员工应该避免在密码中使用包含“Apple”或“Steve Jobs”的字符串。

第三，不同组织的工作角色和就业状态会定期变化。这些规定了员工可以访问哪些资源。重要的是，员工不能查看不适用的文件或数据，也不能使用某些程序。此外，管理员需要终止前雇员的内部账户。虽然从技术上讲不是密码更改，按照我们的设想，这涉及到删除一个人的证书。

为什么要记录历史密码更改？

密码更改在IT领域相当常见。然而，监视和记录更改可以帮助管理员检测可疑活动。密码更改只能通过用户或Active Directory管理员进行。其他参与者更改密码可能意味着黑客入侵。这些活动日志可以帮助团队跟踪可疑事件或减轻即将发生的灾难。

坏演员可以窃取信息。他们可能会执行密码重置—；暂时巩固其帐户访问权限，同时将合法用户锁定在外。密码更改历史记录可以防止泄漏并将停机时间降至最低。

如何在Active Directory中更改用户密码

Active Directory是为Windows网络量身定制的。因此，广告管理员可以通过多种方式更改用户密码。

这可以直接在Active Directory中完成。在AD之外，可以通过直接操作AD数据库的方法更改密码。我们先讨论前者。

使用Active Directory用户和计算机（ADUC）

ADUC是一个补充GUI，允许管理员与Active Directory组件交互。该软件支持远程对象（用户和设备）管理。20年来，ADUC一直是一个核心工具，对于那些厌倦了PowerShell或其他工具的人来说，它仍然是一个用户友好的选择。

ADUC不是预先安装在机器上的默认组件。相反，用户需要下载并安装远程服务器管理工具（RSAT）。该界面与这个更大的工具包捆绑在一起。完成此步骤后，我们如何更改密码？

ADUC允许管理员查看组或域中的单个用户。微软表示，ADUC使用Active Directory服务接口（ADSI）操作来设置密码。这有两种方式：通过轻量级目录访问协议（LDAP）或NetUserChangePassword协议。LDAP需要SSL连接来增强域和客户端之间的通信安全性。更改密码时，必须事先知道用户以前的密码。

从这里开始，密码更改过程非常简单：

1. 右键单击ADUC左侧窗格的顶部
2. 点击连接到域控制器
3. 找到相关的域控制器，然后找到该站点中的用户
4. 找到相关用户并使用GUI更改其密码

• 通过右键单击用户帐户，选择重置密码，并作出必要的改变。

使用Active Directory管理中心（ADAC）

ADAC比ADUC更新，虽然它的用户群更小，但在更改密码时仍然非常有用。ADAC的GUI使这变得非常简单，启动后只需几步。以下是方法：

1. 在导航窗格中，找到包含相应用户的相应节点
2. 右键单击用户名，然后单击重置密码
3. 在弹出框中键入新密码，确认并保存所有更改

与ADUC一样，管理员甚至可以要求用户在下次登录时重置密码。ADAC中还有另一种更改密码的方法。ADAC概览页面包含一个重置密码部分，允许管理员快速访问用户。

使用PowerShell命令

特别是，Windows用户可以键入设置帐户密码并执行它。使用PowerShell的好处有两个。高级用户可以在现有的自动化系统中更改密码，允许在特定的时间间隔刷新密码。此外，管理员可以同时更改多个用户的密码。这对于黑客或数据泄漏后的补救非常有用。

请注意，用户必须使用import module ActiveDirectory命令导入其Active Directory模块。这为AD cmdlet的使用打开了大门。管理员必须启用重置密码权限才能执行这些更改。

对于名为usernameX and a new password—老生常谈的:

键入以下cmdlet：

设置ADAccountPassword usernameX-Reset-NewPassword（ConvertTo SecureString-AsPlainText“passwordY”-Force-Verbose）-PassThru

这会自动替换旧密码，无需再次手动输入信息。

控制台将显示反映这些更改的对象

管理员可能会遇到以下错误，而不是确认：

Set-ADAccountPassword：密码不符合域的长度、复杂性或历史记录要求。

公司出于安全目的制定了大小写和字符要求，而新密码不符合这些要求。用修改过的密码重复第一步。

用户可以通过键入以下cmdlet，让最终用户在登录时更改自己的密码：

将ADUser-Identity usernameX-ChangePasswordAtLogon$True设置为True

如果我们想为组织内的特定团队重置一批密码，该怎么办？

PowerShell允许我们键入以下内容以实现此目的：

获取aduser-过滤器“department-eq'PM Dept”-并启用-eq'True'”|设置ADAccountPassword-NewPassword$NewPassword-Reset-PassThru |设置aduser-ChangePasswordAtLogon$True

这将强制所有项目管理团队在下次登录时更改密码。这对于定期重置或响应特定于团队的安全威胁是有效的。

如何检查密码更改历史记录

有多个外部工具可用于审核Active Directory中的密码更改。不过，我们将重点介绍本机路由，它使用组策略管理控制台（GPMC）。运行GPMC后，管理员应执行以下操作：

1. 使用以下路径导航文件系统：默认域策略>；计算机配置>；政策>；Windows设置>；安全设置>；地方政策>；审计政策：审计账户管理.这会引出两个复选框，分别标记为成功和失败。选中这两个框并单击申请在窗口的右下角。所有登录尝试都将被记录。
2. 在下面Windows设置>；安全设置>；事件日志，将最大安全日志大小设置为1GB。这允许在不超过文件限制的情况下进行长期数据捕获。
3. 选择必要时覆盖事件单击“安全日志的保留方法”后
4. 打开事件日志并使用两个核心ID搜索事件：4724（管理员密码重置尝试）和4723（用户密码重置尝试）

还可以看到事件代码4740（用户被锁定）或4767（用户帐户被解锁）。这些问题本身并不令人担忧。然而，我们希望确保这些事件与4724或4723—；这表明真正的用户确实导致了这些事件，而不是邪恶的演员。

使用Specops uReset审核密码更改

Specops uReset是一种自助式密码重置解决方案，它还可以帮助您密切关注密码更改。“管理报告”菜单提供与锁定帐户和密码更改相关的统计数据。

Specops uReset简化了您监视密码更改的方式，甚至可以通过更新本地缓存的凭据来减少锁定，即使无法访问域控制器。

请访问Specopssoft请求免费试用Specops uReset。