Генерация паролей в AD
4 января 2009 в 23:12

Генерация паролей в AD

кто каким образом производит генерацию паролей в AD 2003?
интресуют автоматизированные процедуры…

как пример ситуации:
домен AD 2003 
400 пользователей

150 пользователям надо генерировать пароль раз в месяц и автоматически менять (без права назначения пользователем).

250 пользоватеелям надо генерировать пароль раз в квартал.

как это на автоматизировать можно, какие варианты, кто что пробывал?

770
Комментарии (21)
  • 5 января 2009 в 10:45 • #
    Нармина Борисова

    Я пропущу ответ? ;-)))))

  • 7 января 2009 в 22:39 • #
    Антон Агальцов

    я Вам 11 ситуацию обрисую :)))

  • 5 января 2009 в 12:07 • #
    Владимир Русинов

    vbscript

  • 6 января 2009 в 21:26 • #
    Дмитрий Мосолов

    Антон, а вы уверены что это надо делать именно за пользователя - "без права назначения пользователем"?
    Вам известен безопасный способ передачи четыремстам пользователям их новых паролей? Вы уверены что свои "назначеные сверху" пароли все 400 пользователей вызубрят как только их увидят , а не запишут не стикере около монитора, а бумажку (е-майл и проч) с передаваемым паролем сожгут и съедят сразу после этого?
    Уверен, что такая централизация только ослабляет безопасность а не усиливает ее.

  • 7 января 2009 в 14:52 • #
    Илья Сергеев

    +1. задача админа назначить политики и написать инструкцию. если кто не сможет - а нужен ли компании пользователь с таким IQ?

  • 7 января 2009 в 22:39 • #
    Антон Агальцов

    ну если говорить про безопасность, то пользователям свойственно вешать стикеры на монитор с паролем в любом случае. Меня беспокоит именно передача паролей от пользователя к пользователю.

  • 8 января 2009 в 00:48 • #
    Дмитрий Мосолов

    а передача 400 паролей от админа пользователям не беспокоит?

  • 8 января 2009 в 21:36 • #
    Антон Агальцов

    пусть Вас это не заботит.

  • 6 января 2009 в 21:36 • #
    Михаил Божнёв

    Согласен с Дмитрием.
    У меня схожая схема, AD 2003, 600 человек.
    Пароль меняется раз в месяц. Пользователь назначает его себе сам.
    Ну и условия включены, что не мение 6 символов и пароль не должен совпадать с последними 9 старыми паролями. Перебрали и другие схемы, по остановились на этом.

  • 7 января 2009 в 22:31 • #
    Антон Агальцов

    по "старинке" данный вариант конечно считается приоритетным.

    Но разнообразие вариантов всегда лучше. Вдруг у кого то гениальная идея есть :)

  • 6 января 2009 в 22:51 • #
    Марат Капранов

    сабж крайне порочный, но любая программа-генерилка умеет выплевывать сгенерированные пассы в какой-нибудь текстовый файл, который потом можно скриптом или самопалом на чем угодно разобрать на составные винтики, и даже через батник можно заюзать стандартный виндовский утиль для принудительного засобачивания пасса юзеру! Это вообще не проблема все - другое дело что так нельзя делать.
    Пароль юзверя может понадобиться только в одном случае - если юзверю нужно настроить что-то такое в его профиле, что нельзя настроить ГПО или скриптами. Ну еще больной на всю голову дир может попросить пассы юзеров ради контроля - ведь диру совсем не нужно знать, что винда работает не по принципу паролей а по принципу прав доступа к объекту, и любой домен админ может попасть на любой десктоп, не знаю пасса...
    Но все же попробуйте переформулировать вопрос. Выясните, зачем именно Вам нужна именно такая крайне неудобная и самоубийственная схема управления паролями - и попробуйте решить эти задачи, оставив систему паролей в хрестоматийном варианте с юзерскими назначениями.
    Юзеры все время забывают, жалуются, не могут придумать пароль? Придумывают пароль и сразу забывают? Ну я уверен что не все. Возьмите непутевых юзеров, которые вообще не умеют и не хотят читать сообщения системы под свое крыло. ну даже если их наберется 50 человек - это все же не 400!
    Дир хочет знать все пароли всех юзеров? Дайте ему просто радмин или дэймвэйр, чтобы глядел в эжкраны юзеров, поставьте ему трэкинг всей почты - уверен, это все, что нужно диру от паролей. Когда дир говорит - дай пароль, нужно понимать, что ему нужен не пароль а контроль. И Вы, как профессионал, можете предложить ему нечто гораздо интереснее!

  • 7 января 2009 в 00:05 • #
    Дмитрий Мосолов

    Никогда не видел директора, требующего пароль пользователя. :-) У него других дел больше нет как входить под именами пользователей?

  • 7 января 2009 в 00:09 • #
    Марат Капранов

    я видел... Дела есть, это так щеки надувают

  • 7 января 2009 в 22:27 • #
    Антон Агальцов

    да, да бывает такое, правда это не тот случай.

  • 7 января 2009 в 22:47 • #
    Антон Агальцов

    не стоит думать только в одном направление, пытайтесь думать более масштабно.

    А если пользователи меняются каждый месяц. и требуется перебивать?

    да или хотя бы предоставления временного доступа? только на месяц? а потом деньги плати?

    Вы не забывайте что логин и пароль АД завязан помимо входа в систему еще и с другими службами, которые требуют постоянной смены паролеей.

    так что прошу отвечать по факту, а не пересказывать правила безопасности.

  • 8 января 2009 в 00:47 • #
    Дмитрий Мосолов

    если пользователи меняются каждый месяц - значит и аккаунт надо заводить новый, если уж что то нестандартное и нужет именно старыйй аккаунт - выставляется требование обязательной смены пароля.

    в случае временного предоставления доступа "а потом деньги плати " аккаунт просто блокируется через месяц. И потом обратно включается.

    Для того что бы помыслить еще более глобально надо видеть задачу целиком,
    мне почему то кажется что где то ошибочно построена общая схема решения, а мы пытаемся рассматривать одну из подзадач которая, как следствие, тоже поставлена некорректно.

  • 8 января 2009 в 21:35 • #
    Антон Агальцов

    не считаю необходимым рассписывать всю ситуацию, был задан конкретный вопрос. Я не задавался вопросом: "Зачем мне это надо?"

    я спросил по конкретной ситуации, с определенном соотношением чисел.

  • 9 января 2009 в 02:56 • #
    Дмитрий Мосолов

    Тогда похоже конкретный ответ в этой теме был дан многими специалистами:
    Автоматизированными процедурами генерацию паролей AD никто не производит.

  • 9 января 2009 в 09:49 • #
    Марат Капранов

    А надо бы задасться, Антон ;) вопросиком-то

  • 10 января 2009 в 22:50 • #
    Рубен Абрамов

    Антон, у нас в домене AD аналогичная ситуация: домен AD 2003, 30 серверов,
    600 пользователей. Пароль меняется раз в месяц. Пользователь назначает его себе сам. Условия: не менее 6 символов, пароль не должен совпадать с последними 9 старыми паролями. Регулируется все политикой на уровне домена и регламентом, утвержденным Генеральным директором и имеющим статус внутрикорпоративного "закона". Это классика, но она себя оправдывает. Здесь я полностью согласен с Михаилом Божнёвым.

  • 11 января 2009 в 01:44 • #
    Антон Чернов

    Антон, вам уже дали рекомендации: скрипт, утилита по генерации паролей.
    Вы ищете "серебряную пулю" ?
    Задачу синхронизации паролей и учетных данных в Active Dirictory и других системах решает продукт - ILM 2007. Для прикладных систем требуется настройка. Обычно данный продукт используется в крупных компаниях от 1000 пользователей, но все индивидуально и для 500 уже имеет смысл. Позволяет повысить безопасность, а также существенно упростить управление учетными данными и паролями в разных системах и снизить затраты на поддержку.
    Скоро выйдет новая версия ILM, в которой будет расширенный портал по управлению учетными данными и паролями для самообслуживания пользователей.

  • Желаете ознакомиться с остальными комментариями или оставить свой? в сеть, чтобы получить полный доступ к функционалу Профессионалов.ru! Еще не участник сети?