[Iska]

Цитата ejik_off:

Нужно этим пользователям отправить письмо с просьбой изменить пароль на уникальный и где-то сохранить что этому пользователю было отправлено сообщение допустим в эксель добавить имя уч.записи и указать цифру 1, если письмо было отправлено первый раз. 2 - если это уже второе уведомление и тд. »

Вообще-то, необходимо и достаточно программно установить флажок «Требовать смены пароля при следующем входе в систему» в свойствах учётной записи. И всё.

Естественно, должны быть заданы требования на неповторяемость N новых паролей пользователя на уровне домена.

[ejik_off]

Цитата Iska:

Вообще-то, необходимо и достаточно программно установить флажок «Требовать смены пароля при следующем входе в систему» в свойствах учётной записи. И всё. Естественно, должны быть заданы требования на неповторяемость N новых паролей пользователя на уровне домена. »

Все требования по парольной политике установлены, но это ни как не препятствует установке одинаковых паролей для нескольких уч.з

[Elven]

Iska, я так понимаю проблема не с установкой одинаковых паролей для одной учетки (это действительно легко разруливается политиками), а одинаковыми паролями на разные учетки одного пользователя (например рабочая учетка, уетка с правами локального админа на компах домена, учетка с правами доменного админа и т.д.). К сожалению здесь мы ограничены человеческим фактором, насколько мне известно. МС любит замороченные политики, но не на столько чтобы позволять объединять учетки в своеобразный массив, каждый из членов которого не может иметь пароля, который уже используется у другого члена массива.
ejik_off, стесняюсь спросить, но всё же спрошу: как был выявлен факт использования одинаковых паролей? Если это был сигнал от безопасников с какого-то их хитрого софта (емнип работу назад кто-то из безопасников одного коллегу этим и напряг изрядно), то контроль за этим делом и стоит возложить на безопасников. В противном случае нужно будет рисовать какую-то функцию для сравнения элементов каждого с каждым, на входе давать массив из имен, на выходе, соответсвенно, true или false. Это, кмк, будет самым простым решением на posh, но даже за такой вариант браться не особенно хочется, если может быть вариант попроще.

[ejik_off]

Elven, Это и не только делается с помощь модуля https://github.com/MichaelGrafnetter/DSInternals

[Elven]

Я Вам про Фому, Вы мне про Ерёму... но да ладно. Сравнивать все равно можно так, как я уже описал выше, правда я не припомню чтобы пароли из АД можно было выдирать в пригодном для сравнения виде, но если таковая возможность у Вас имеется - велкам.

Код:

function matchinarray ($array) {
    for ($i=0; $i -lt $array.count;$i++) {
        for ($j=0; $j -lt $array.count;$j++) {
            if (($array[$i].TipaPassword -eq $array[$j].TipaPassword) -and ($i -gt $j)) {
                Write-Host "Nehoroshi chelovek!"
                Write-Host $array[$i].Name $array[$j].Name
            }
        }
   }
}

$users = @(Get-ADUser -Filter *)

matchinarray $users

з.ы. как оно сработает - хз, тестировал на сравнении фамилий, теперь у меня есть список однофамильцев

А ну и да, не понимаю почему учетки берутся из какого-то текстового файла, а не из АД напрямую.

[ejik_off]

Цитата Elven:

Я Вам про Фому, Вы мне про Ерёму... »

Видимо Вы меня не поняли. DSInternals - это модуль PS с помощью которого можно проводить аудит паролей в ад. Что бы избежать использования шаблонных паролей (например: Сентябрь2020) по парольной политике такой пароль проходит, но с точки зрения безопасности он не подходит. Вот так выглядит отчет

Скрытый текст

Active Directory Password Quality Report
----------------------------------------

Passwords of these accounts are stored using reversible encryption:

LM hashes of passwords of these accounts are present:

These accounts have no password set:
DefaultAccount
Гость

Passwords of these accounts have been found in the dictionary:

Historical passwords of these accounts have been found in the dictionary:

These groups of accounts have the same passwords:
Group 1:
viktor
Администратор
Group 2:
iivanov
ppetrov
ssidorov
vpupkin

These computer accounts have default passwords:

Kerberos AES keys are missing from these accounts:

Kerberos pre-authentication is not required for these accounts:

Only DES encryption is allowed to be used with these accounts:

These administrative accounts are allowed to be delegated to a service:
krbtgt
viktor
Администратор

Passwords of these accounts will never expire:
DefaultAccount
iivanov
ppetrov
ssidorov
viktor
vpupkin
Гость

These accounts are not required to have a password:
DefaultAccount
Гость

и уже с этим отчетом я дальше работаю. Поэтому я из файла беру пользователей. Тем пользователям, пароль которых был найден в словаре, отправляется уведомление о необходимости сменить пароль на более сложный. Теперь такое же уведомление нужно отправлять для тех пользователей у кого одинаковые пароли.

[Iska]

Цитата ejik_off:

но это ни как не препятствует установке одинаковых паролей для нескольких уч.з »

А этого никогда и не требовалось.

И явно не «все…»: чтобы не было подбора по радужным таблицам — включают блокировку учётных записей после нескольких неправильных попыток.

[Elven]

ejik_off, я то вас понял, а вот вы меня - явно нет. я знаю и за этот модуль, и как работает мимкатц, от которого вы хотите придумать затычку. Откуда вы будете учетки выгребать - дело ваше, точно так же как я брал их из АД в вышеприведенном примере, их можно цеплять из текстового файла, НО! остается открытым вопрос откуда брать пароль. Найдете - хорошо, переделать скрипт под свои нужды дело десяти минут.
dixi

[ejik_off]

Цитата Iska:

И явно не «все…»: чтобы не было подбора по радужным таблицам — включают блокировку учётных записей после нескольких неправильных попыток. »

С этим все понятно. Речь не идет о переборе, но если сильно хочется можно выгрузить базу ад и подобрать пароль офлайн.

Цитата Iska:

А этого никогда и не требовалось. »

То есть если пользователи все будут использовать один пароль ничего страшного в этом нет?

Цитата Elven:

НО! остается открытым вопрос откуда брать пароль. »

Зачем пароль?