- 締切済み
パスワードが設定されていないユーザーのみ一括変更
毎度、お世話になっています。お力添えをお願いします。 Windows Server 2003でActiveDirectoryドメイン環境を組んでいます。最近判明したのですが、ログオンする際にパスワードが空白のまま(!)ログオンしているユーザがいることが判明しました。これに対し、次回ログオン時でパスワードを変更してもらうようにしようと思うのですが、パスワードが空白のユーザを抽出する方法が分かりません。 自分で調べた限り、「dsquery」「dsegt」コマンドを使えばよいらしいのですが、細かい条件でエラーが出てうまく行きません。 ダメな場合は全ユーザに対してもう一度パスワードを設定してもらうようにしますが、できればそれは避けたいのでお力添えをお願いします。
- fledelix
- お礼率78% (15/19)
- その他(ITシステム運用・管理)
- 回答数4
- ありがとう数5
- みんなの回答 (4)
- 専門家の回答
みんなの回答
>反対意見が続々と出され、上司の命令でパスワードを掛けるのを断念した 最低な状況ですね。 空白パスワードを制限すると、また同じことになってしまいますね。 今の状態を続けていたら、どういうことが起きる可能性があるのか説明をして、マネージメントを説得しなければなりません。 それがあなたの責務になると思います。 何かセキュリティ上の損害が出たときにはあなたの責任が問われます。 問題があるのは指摘しました、と言ってみても、こんなことになるとは言わなかっただろうと反論されるでしょう。 とにかく、セキュリティ上の脆弱性を指摘して、パスワードポリシーの強化を提案して、その実行を認めさせなければなりません。 充分な説得を尽くしても、マネージメントが受け入れないのであれば、後は”糞食らえ”でもいいかもしれません。 というか、そんなクソタレな会社は見切りを付けたほうがいいでしょう。 空白パスワードはもってのほかですが、文字数も8文字以上にする、とか、1-2ヶ月ごとに変更をさせる、といったことも必要です。 また、各デスクをチェックして、パスワードがPCに貼り付けられていたりしないか確認したほうがいいですよ。
- jjon-com
- ベストアンサー率61% (1599/2592)
>すでに強力なパスワードを掛けているユーザは条件から外したかった パスワードポリシーを設定したことにより,既存のパスワードが初期化されてしまうわけではありません。パスワードポリシーを満たすような強力なパスワードをすでに設定しているのであれば,そのユーザは何の変わりもなく普通にログオンできます。つまり条件から外れています。 質問者が補足で説明なさった事柄がすべてで本当にそれ以外の事情がないのであれば,それはパスワードポリシーを使いたくない(あるいはできない)理由にはならないと思います。 意地悪い言い方ですが,もしかすると。 空白パスワードはダメだと管理者として警告はした,という事実を作りたいのが主目的で,それに従わずに空白パスワードを使い続けるユーザが何人も残っていようがそれには関心がない,というのが本音だったりしますか?
お礼
色々貴重な御意見有難うございました。上司にできるだけ早く掛け合い、セキュリティ上問題のない状況にしたいと思います。
補足
御意見有難うございます。 前任者がうやむやのまま退社してしまい(私が入社したとき、すでに前任者は居ませんでした)、後を引き継いだ私にすべて降り掛かってきた状況です。ようやく「パスワード」を入力するのが当たり前とが理解されるような土壌ができているので、1日でも早くこの状況を脱したいと思います。
No.1の指摘のように、パスワードポリシーを変更して、パスワードの長さを1文字以上にすれば、パスワードが空白(長さ0)となっているユーザは、ポリシー変更後に >次回ログオン時でパスワードを変更 しなければならなくなります。 技術的には以上で解決、と思いますが、"政治的"な問題が発生します。 これまでパスワード入力を"空白"で済ませてきたユーザは、パスワードを選択・決定し、以後、毎回パスワードを入力しなければならない、ということになります。一般的には至極当然なことなのですが、これを既得権益を侵されたと感じ、ユーザの利便性を損なったなどと、反発、攻撃してくる輩もいます。 パスワードルールの変更が必要だという、実質的な判断はあなたがするということでよいのですが、しかるべき職権を持った人物(システム部長とか、セキュリティに責任を負う総務部長とか、社長でも結構。)のお墨付きが必要です。 空白のパスワードを使用し続けることで予見しうるセキュリティ上の問題を明確にし、対策の必要性を説いて、対策を提案し、その実行についての決済を仰ぐということをなさってください。
お礼
色々貴重な御意見有難うございました。上司にできるだけ早く掛け合い、セキュリティ上問題のない状況にしたいと思います。
補足
確かに御指摘の通りです。 私が入社する以前の話なので詳細は不明なのですが、前任の管理者がパスワードを掛ける様に働きかけをしたところ、「パスワードを掛けると現場で作業している人間が困る」「パスワードを掛けるのが面倒」という反対意見が続々と出され、上司の命令でパスワードを掛けるのを断念したという話を聞いたことがあります。それを延々と引き継ぎ、今日に至った次第です。 話を戻しますと、すでに強力なパスワードを掛けているユーザは条件から外したかったので問題文のようなコマンドを使用してどうにかできないかと考えた次第です。
- jjon-com
- ベストアンサー率61% (1599/2592)
そもそも,空白などという安易なパスワードを パスワードポリシーで許可しなければ済む話だと思うのですが, それをしたくない(あるいはできない)事情が何かあるのでしょうか。 http://www.fmmc.or.jp/~fm/nwts/w2003s/appendix/pass_rule.html
お礼
色々貴重な御意見有難うございました。上司にできるだけ早く掛け合い、セキュリティ上問題のない状況にしたいと思います。
補足
確かに御指摘の通りです。 私が入社する以前の話なので詳細は不明なのですが、前任の管理者がパスワードを掛ける様に働きかけをしたところ、「パスワードを掛けると現場で作業している人間が困る」「パスワードを掛けるのが面倒」という反対意見が続々と出され、上司の命令でパスワードを掛けるのを断念したという話を聞いたことがあります。それを延々と引き継ぎ、今日に至った次第です。 話を戻しますと、すでに強力なパスワードを掛けているユーザは条件から外したかったので問題文のようなコマンドを使用してどうにかできないかと考えた次第です。
お礼
色々貴重な御意見有難うございました。上司にできるだけ早く掛け合い、セキュリティ上問題のない状況にしたいと思います。
補足
御意見有難うございます。 前任者がうやむやのまま退社してしまい(私が入社したとき、すでに前任者は居ませんでした)、後を引き継いだ私にすべて降り掛かってきた状況です。ようやく「パスワード」を入力するのが当たり前とが理解されるような土壌ができているので、1日でも早くこの状況を脱したいと思います。