穩紮WS 2016安全基礎 實戰密碼及加密管理

Windows Server 2016提供的功能很多,但實際上許多進階且強大的安全性功能只會應用在某些特殊的需求,因此防守好資訊安全的基本面,才是保護IT運作環境的上上策。以下就一同來探討學習Windows網路架構中除了防火牆、防毒以及更新管理外的另一項基礎安全管理:密碼與加密管理。

可是如果想要一次變更指定組織單位(OU)容器中的所有使用者的密碼,並且將他們都重置成相同的密碼,採用PowerShell的命令做法,肯定是更有效率的。操作很簡單,只要執行以下命令參數,並將其中的密碼變數與組織單位的路徑位置修改成組織實際需要的設定值即可:


以CSV批次變更網域帳戶密碼

關於批次修改網域帳戶密碼的需求,其實還有更靈活的做法,那就是先製作好帳號與密碼的對應清單文件(.CSV),然後透過PowerShell相關命令來參考它,以完成大量帳戶密碼的重置任務。這種做法相當適用在當需要設定讓不同的使用者擁有他們各自唯一的重置密碼時,例如設定讓每位使用者以自己的員工編號為預設重置密碼。


▲圖6 準備CSV檔案。

接下來,開啟Excel應用程式來建立一個類似圖6所示的CSV檔案,並且將它存放在「C:\Scripts\Users.csv」。這裡面主要描述了每個帳戶與密碼的相對設定,其中兩個欄位的名稱必須與後續的Script程式碼相對應。

完成建立CSV檔案後,開啟Windows PowerShell ISE 命令編輯程式,建立一個如下的Script內容,如圖7所示其中筆者在每一小段的程式碼中都有加入說明以供參考。程式碼輸入完成後,同樣地將它存放在「C:\Scripts」路徑下,例如將它命名為「PassReset.ps1」,最後點選執行的按鈕即可:



▲圖7 以CSV批次修改網域帳戶密碼。

忘記本機Administrator密碼的解決辦法

在Active Directory網域環境中,若不慎忘記某一部Windows成員伺服器的Administrator密碼並不打緊,因為只要使用網域管理員的帳戶登入該主機後再做修改即可。

可是,在企業的IT網路中難免會有一些特殊用途的Windows Server沒有加入網域,這時候如果忘記了預設的Administrator帳戶密碼,再加上沒有預先建立其他備用的管理員帳戶,該如何化解呢?首先為了避免發生上述的窘境,強烈建議預先透過內建功能,建立一張密碼重設磁片,便可以輕鬆化解這類的問題,關於這部分的說明可以參考筆者過去的深度學習專欄。然而,如果尚未建立便已經發生此問題,則必須採用原始的安裝媒體,並透過離線的方式來加以解決。


▲圖8 以安裝媒體開啟命令視窗。

在安裝媒體開機至「Windows Setup」頁面完成後,按下〔Shift〕+〔F10〕鍵來開啟如圖8所示的命令列視窗。以「cd Windows\System32」命令完成路徑的切換後,執行「ren Utilman.exe Utilman.exe.bak」命令參數,來備份原始的系統程式。

接著執行「copy cmd.exe Utilman.exe」命令,以便讓命令視窗程式來暫時取代它,最後執行「shutdown -r -t 0」指令立即重新啟動主機。

重新啟動主機並且來到登入頁面後,按下〔Windows〕+〔U〕鍵來開啟命令視窗。如圖9所示,接著只要執行「Net user Administrator P@ssw0rD」命令,便可以完成Administrator帳戶的密碼變更,其中密碼的部分,輸入所要設定的字元。

完成密碼修改後,便可以使用此帳戶密碼來進行Windows Server的本機登入。最後將Utilman.exe的檔案刪除,並且把「Utilman.exe.bak」更名成「Utilman.exe」,即可恢復正常運作。


▲圖9 修改網域管理員密碼。


如何關閉本機帳戶密碼複雜度要求

對於一些安全性需求比較低的Windows Server,管理者通常會想要關閉密碼複雜度要求,以避免密碼設定與密碼到期時的困擾,尤其是在建立測試環境時,往往會在系統完成安裝時的第一時間便立即關閉此功能設定。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!