İçinde bulunduğumuz ortam nedeni ile imkanı olan bir çok firma uzaktan bağlantı imkanlarını sonuna kadar zorluyor.
Yalnız uzaktan bağlantılarda AD üzerinde belirlenen Password Policy zamanları uzak bağlantılarda self service portal alt yapıları olmayan sistemlerin bu dönemde ciddi sıkıntıları oluşacak.
Çünkü şifresi expire sürecine girmiş user erişim sağlamaya çalıştığında red alacak. Bu durumda da IT personellerinin manuel şifre resetleyerek kullanıcılara iletmesi gerekecek ki bu da şifreyi resetleyen kişin bunu bilmesi nedeni de güvenlik kurallarına takılıyor.
Regülasyonlar nedeni ile Password Policy değişikliği yapamayan (yapmak istemeyen) şirketler aşağıdaki script ile AD kullanıcısının şifresi aynı kalacak şekilde Password change zamanını change edebilirler.
Var olan Password Policy görmek için aşağıdaki PS kullanabilirsiniz.
Get-ADDefaultDomainPasswordPolicy
Password Last Set Time değişikliği için aşağıdaki şekilde kullanabilirsiniz.
$username = Read-Host ‘username?’
$User = Get-ADUser $username -properties pwdlastset
(Get-Date)-[datetime]::fromFileTime($user.pwdlastset) | select days,hours,minutes
$User.pwdlastset = 0
Set-ADUser -Instance $User
$user.pwdlastset = -1
Set-ADUser -instance $User
$User = Get-ADUser $username -properties pwdlastset
[datetime]::fromFileTime($user.pwdlastset)
Eline sağlık.
Merhaba bu şekilde bir güvenlik acığı yaratmış olmuyormuyuz.
Merhaba,
Bu işlemi yapabilen yetkiye haiz kullanıcı aslında sizin şifrenizi Reset yetkisine de sahip. Yani aslında yetki aşımı yapılmıyor.
Ayrıca buradaki öneri zor zamanlarda/acil durumlarda Admin’ in şifreyi öğrenmeden (şifre reset yapmadan) kullanıcının sorununu çözmeye yönelik.