Rechercher l'expiration du mot de passe pour les utilisateurs Active Directory
Active Directoryfonctionne sur Windows Server, donc si vous savez comment exécuter quelques commandes à l'invite de commande Windows, vous pouvez rapidement accéder aux coulisses et exécuter une liste de dates d'expiration pour les comptes d'utilisateurs dans AD. Il existe plusieurs commandes simples que vous pouvez utiliser, ainsi qu'une routine PowerShell.
Après avoir examiné comment obtenir ces informations vous-même, nous examinerons également quelques progiciels tiers applicables qui peuvent vous fournir des informations sur les dates d'expiration des comptes dans Active Directory.
À propos de l'expiration du mot de passe dans Active Directory
Avant d'examiner comment extraire les dates d'expiration des mots de passe d'Active Directory, il convient de noter ce que signifie ce facteur. moyens . Lorsque la date d’expiration du mot de passe est atteinte, le compte n’est pas bloqué. Au lieu de cela, l'utilisateur est invité à entrer un nouveau mot de passe .
La date d'expiration du mot de passe fait foi rotation des mots de passe politiques, donc ce n’est pas une mauvaise chose. Les utilisateurs accéderont toujours à leurs comptes, mais il leur suffira de réinitialiser leurs mots de passe. Par conséquent, ne paniquez pas si vous constatez que de nombreux comptes ont une date d’expiration de mot de passe imminente – vous n’avez rien à faire à ce sujet. Laissez simplement les utilisateurs être invités à saisir un nouveau mot de passe.
Recherche de dates d'expiration de mot de passe
Pour obtenir une liste des dates d’expiration des mots de passe des utilisateurs AD, ouvrez une fenêtre d’invite de commandes. Tu peux le faire de plusieurs façons. La première consiste à appuyer simultanément sur les touches Windows et R, en entrant cmd dans la zone Exécuter qui apparaît, puis en appuyant sur RETOUR ou en appuyant sur la touche D'ACCORD bouton. Vous pouvez également obtenir la fenêtre d'invite de commande en entrant Commande dans le champ de recherche du menu Démarrer et en sélectionnant l'invite de commande dans la liste des résultats.
Vous devez utiliser l'utilitaire net user pour voir la date d'expiration du mot de passe d'un utilisateur. Le format de cette commande est :
|_+_|Voici un exemple d'exécution de cet utilitaire. Dans ce cas, la commande récupère les détails de l'utilisateur Test01 sur le domaine local.
La date d'expiration du mot de passe est indiquée sur la neuvième ligne du rapport sur le compte utilisateur et est étiquetée Le mot de passe expire .
Utilisez PowerShell pour obtenir une liste des dates d'expiration des comptes d'utilisateurs AD
L'internaute appelle simplement les détails d'un compte utilisateur. Pour extraire une liste de toutes les dates d'expiration des comptes, vous devrez utiliser PowerShell. Vous devez vous assurer que vous disposez des bibliothèques PowerShell AD prises en charge avant d’exécuter votre recherche de dates d’expiration des mots de passe utilisateur.
Le Module PowerShell Active Directory est préinstallé sur Windows Server. Si vous effectuez cette recherche sous Windows 10, vous devez accéder à la page à ce sujet Routines PowerShell chez Microsoft. Vous devrez également installer le Outils d'administration de serveur distant pour Windows 10 .
Ouvrez une fenêtre PowerShell en appuyant simultanément sur la touche Windows et R pour obtenir la boîte de dialogue Exécuter, en entrant PowerShell , puis en appuyant sur RETOUR ou en cliquant sur le D'ACCORD bouton. Alternativement, vous pouvez saisir PowerShell dans le champ Démarrer la recherche et en sélectionnant PowerShell dans les résultats.
Obtenez la date d'expiration du mot de passe pour un utilisateur avec le code PowerShell :
|_+_|Vous devrez saisir un identifiant utilisateur au lieu du jeton Nom d'utilisateur indiqué dans le code ci-dessus. Vous pouvez formater la sortie en redirigeant les résultats vers une instruction SELECT :
SELECT Nom, {[datetime]::FromFileTime($_.”msDS-UserPasswordExpiryTimeComputed”)}
Donner une maîtrise totale de :
|_+_|Une modification de cette commande vous donnera tous les utilisateurs enregistrés dans votre instance Active Directory.
|_+_|Ce code affichera la sortie à l'écran. Si vous avez besoin de la sortie dans un fichier, vous devez simplement rediriger les résultats du code.
Utilitaires pour obtenir des informations sur les utilisateurs Active Directory
Si vous ne souhaitez pas créer votre code pour obtenir les dates d'expiration pour les utilisateurs AD, vous pouvez installer un outil de gestion Active Directory à la place. La date d'expiration du mot de passe est l'un des attributs que ces utilitaires vous offriront.
Notre méthodologie de sélection d'un outil de gestion Active Directory
Nous avons examiné le marché des outils qui vous permettront d'obtenir la date d'expiration du mot de passe utilisateur à partir d'AD et analysé les options en fonction des critères suivants :
- Un système avec une interface GUI qui présente le contenu AD dans un format acceptable
- Un service qui peut afficher une gamme d'attributs de compte utilisateur
- Un gestionnaire qui affichera les groupes d'utilisateurs et l'appartenance aux groupes d'utilisateurs d'AD
- C'est bien d'avoir une interface pour mettre à jour les valeurs dans AD
- Un système de surveillance qui avertit des erreurs de réplication
- Un outil gratuit ou un système proposant un essai gratuit pour une évaluation sans frais
- Un outil payant qui offre un bon rapport qualité-prix ou un outil gratuit qui vaut la peine d'être installé
Étant donné qu'Active Directory n'est disponible que pour les systèmes Windows, nous avons recherché des packages permettant d'accéder à Windows ou Windows Server. De plus, les systèmes pouvant accéder au service Azure AD étaient également intéressants.
Voici notre liste des quatre meilleurs outils pour rechercher l’expiration des mots de passe des utilisateurs Active Directory :
- SolarWinds Access Rights Manager CHOIX DE L'ÉDITEUR Un système complet de gestion Active Directory est particulièrement essentiel pour les entreprises qui doivent prouver leur conformité à une norme de protection des données. Analysez les structures d'autorisations et administrez-les avec ce progiciel sur site pour Windows Server.
- ManageEngine ADSelfService Plus (ESSAI GRATUIT)Un portail utilisateur qui implémente un environnement d'authentification unique via AD et permet aux utilisateurs de réinitialiser leurs propres mots de passe. Fonctionne sur Windows Server.
- Analyseur d'autorisations SolarWinds pour Active Directory (OUTIL GRATUIT) Un outil gratuit qui crée des chemins de recherche dans toutes les données contenues dans vos implémentations Active Directory. Cet outil s'installe sur Windows Server.
- Plateforme de sécurité des données Lepide Ce service basé sur le cloud offre une gamme d'outils d'application de la sécurité, notamment le gestionnaire de mots de passe, capable de répertorier et de superviser les dates d'expiration des mots de passe pour les actifs sur site et dans le cloud.
- ManageEngine ADManager Plus cet outil agit comme une interface pour Active Directory et vous permet de planifier et d'organiser les fonctionnalités du compte utilisateur. Disponible en éditions gratuites et payantes et proposé en téléchargement sur Windows ou en tant que service cloud.
Vous pouvez en savoir plus sur chacune de ces options dans les sections suivantes.
1. Gestionnaire de droits d'accès SolarWinds (ESSAI GRATUIT)
Vents solaires est le premier fournisseur mondial d’outils de surveillance de systèmes. Il n’est donc pas surprenant que nous ayons mis deux systèmes de cet éditeur de logiciels sur notre liste. Le premier d'entre eux, le Gestionnaire des droits d'accès , fournit une vue complète de toutes vos implémentations AD.
Principales caractéristiques:
- Remplacer l'interface par AD
- Cartes de relations d'objet
- Prévention de la perte de données
- Facilite les actions groupées
- Met en œuvre les politiques de sécurité
Le gestionnaire de droits d'accès peut surveiller toutes les instances AD dans un tableau de bord . Il vous permet d'analyser la structure des droits d'accès de votre entreprise et de la coordonner entre les sites et les applications. Vous pouvez renforcer les groupes d’utilisateurs et leurs droits grâce à ce système – c’est une tâche essentielle si vous souhaitez mettre en œuvre prévention contre la perte de données contrôles sur les données sensibles.
Le système vous permet de rechercher données du compte utilisateur et découvrez des facteurs tels que les dates d'expiration des mots de passe. Il vous permet également de mettre à jour les valeurs individuellement ou en masse.
Le gestionnaire de droits d'accès est votre meilleur choix si vous avez besoin de réorganiser votre système AD et restez au courant de l’activité des utilisateurs. Cependant, il s’agit d’un système haut de gamme plutôt que d’un outil rapide pour extraire les dates d’expiration des comptes utilisateurs. De plus, le système peut Audit et rendre compte de la conformité aux normes de confidentialité des données.
SolarWinds, Access Rights Manager, s'installe sur Serveur Windows, et vous pouvez l'obtenir avec un essai gratuit de 30 jours.
Avantages:
- Visibilité complète pour plusieurs domaines AD simultanément
- Analyseur pour la structure des autorisations
- Fonction de recherche pour des champs spécifiques
- Audit de conformité et reporting
- S'installe sur place
Les inconvénients:
- Trop gros et cher si vous voulez juste une fonction de recherche rapide
LE CHOIX DES ÉDITEURS
SolarWinds, gestionnaire des droits d'accès, est notre premier choix pour un système de gestion de compte utilisateur, car il offre aux administrateurs système une assistance complète pour contrôler les implémentations d'Active Directory. La gestion des droits d’accès est au cœur de votre stratégie de sécurité système. Si votre structure d’autorisations n’est pas verrouillée, votre système est vulnérable aux intrusions et aux attaques de logiciels malveillants. Auditez et créez facilement des rapports sur les normes de confidentialité des données grâce aux systèmes automatisés de suivi des activités de ce package.
Obtenez un essai gratuit de 30 jours : https://www.solarwinds.com/access-rights-manager/registration
Système opérateur : Serveur Windows
2. ManageEngine ADSelfService Plus (ESSAI GRATUIT)
ManageEngine ADSelfService Plusest un portail utilisateur qui permet aux administrateurs de présenter un menu de services disponibles à chaque utilisateur. Le système interagit avec Active Directory pour découvrir les systèmes auxquels cet utilisateur a accès, puis génère une page contenant l'accès à ceux-ci. Une fois que l'utilisateur s'est authentifié pour accéder à la page du portail, toutes les connexions d'accès sont répercutées, créant ainsi un s connexion unique environnement.
Principales caractéristiques:
- Portail utilisateur
- Réinitialisation du mot de passe en libre-service
- Authentification unique
- Créer un menu d'applications autorisées
Le portail permet la mise en œuvre de stratégies 2FA et présente également à l'utilisateur la possibilité de réinitialiser un mot de passe . Le portail est accessible via un système de diffusion Web ou une application mobile, rendant les systèmes disponibles via plusieurs appareils. Cela crée un environnement multi-appareils flexible pour les horaires de travail en itinérance modernes.
Avantages:
- Portail d'accès universellement disponible
- 2FA possible
- Fonction de réinitialisation du mot de passe utilisateur
- Authentification unique
Les inconvénients:
- Ne gère pas LDAP
ManageEngine ADSelfService Plus est un package sur site qui s'exécute sur Serveur Windows . Le système peut être ajouté à un compte cloud via AWS Marketplace ou Azure Marketplace. Il existe trois éditions des systèmes : Gratuit , Standard , et Professionnel . L'édition gratuite est limitée à la gestion de 50 utilisateurs. Vous pouvez obtenir un30 jours d'essai gratuitde l'édition Professionnelle d'ADSelfService Plus.
ManageEngine ADSelfService Plus Commencez un essai GRATUIT de 30 jours
3. Analyseur d'autorisations SolarWinds pour Active Directory (OUTIL GRATUIT)
Contrairement au payant Vents solaires paquet sur cette liste, le Analyseur d'autorisations pour Active Directory est idéal pour ceux qui souhaitent simplement accéder à des valeurs spécifiques contenues dans Active Directory. Cet utilitaire permet de recherche via tous les comptes et autorisations de l'appareil pour obtenir rapidement des informations critiques.
Principales caractéristiques:
- Utilisation gratuite
- Requête rapide d'autorisations AD
- Analyse ad hoc
Un exemple du type de requête que vous souhaiterez peut-être exécuter dans cet outil utile serait une liste de dates d'expiration des comptes d'utilisateurs. Ensuite, triez, regroupez et filtrez les enregistrements AD pour trouver informations convaincantes pressé.
Avantages:
- Utilitaire de recherche rapide
- Utile pour les requêtes ponctuelles
- Ne coûte rien
Les inconvénients:
- Aucune fonctionnalité de gestion AD
L'analyseur d'autorisations SolarWinds pour Active Directory s'exécute sur Serveur Windows, et vous pouvez le télécharger gratuitement.
Analyseur d'autorisations SolarWinds pour Active Directory Téléchargez l'outil 100% GRATUIT
Quatre. Plateforme de sécurité des données Lepide
Plateforme de sécurité des données Lepide est un système SaaS qui offre plusieurs services de protection de sécurité et comprend un gestionnaire de mots de passe. Ce service peut explorer les données dans Active Directory et afficher des facteurs uniques. L’un de ces objectifs concerne les dates d’expiration des mots de passe.
Principales caractéristiques:
- Gestionnaire de mots de passe
- Analyse des données d'expiration
- Forfait SaaS
L'issue de dates d'expiration des mots de passe dans AD, il ne s’agit pas seulement de savoir quand les utilisateurs seront invités à réinitialiser leur mot de passe. Par exemple, vous avez peut-être repris un système d'un administrateur qui a privilégié la facilité de gestion plutôt que la sécurité. Dans un tel cas, de nombreux comptes, voire tous, dans AD peuvent avoir des mots de passe qui n'expirent jamais . Un moyen efficace de mettre en œuvre cela consiste à fixer les dates d’expiration si loin dans le futur qu’elles ne deviennent jamais un problème. Lepide vous aide à identifier cette erreur et vous pouvez utiliser l'interface pour ajuster les dates d'expiration afin qu'ils suivent une politique de rotation des mots de passe significative.
La plateforme de sécurité des données Lepide réside dans le nuage, et cela peut couvrir les applications basées sur le cloud et les services que vous exploitez sur votre site. L'activité de gestion des mots de passe dans Lepide Data Security Platform s'étend à bases de données et suites de productivité et accès général au système.
Avantages:
- Couvre les droits d’accès pour une gamme d’applications
- Comprend des analyseurs pour les dates d'expiration des mots de passe
- Offre une gamme d'outils pour gérer les comptes d'utilisateurs
Les inconvénients:
- Ce serait bien d'avoir une période d'essai gratuite plus longue.
Vous pouvez accéder à un Essai gratuit de 15 jours de Lepide Data Security Platform pour évaluer par vous-même ses outils de gestion de mots de passe.
5. ManageEngine ADManager Plus
ManageEngine ADManager Plus vous offre des fonctions supplémentaires de gestion de compte utilisateur et de reporting que vous n'obtenez tout simplement pas avec l'interface AD standard. Il s'agit d'un outil essentiel pour ceux qui doivent se conformer normes de confidentialité des données car il auditera vos comptes d'utilisateurs et générera tous les rapports dont vous avez besoin pour votre conformité.
Principales caractéristiques:
- Un pack de 6 outils AD
- Interface AD
- Gestion des mots de passe
L'outil unifie la gestion des informations de compte pour un environnement Microsoft typique, car il peut contrôler les instances AD pour Microsoft 365, SharePoint, Microsoft Exchange et les domaines d'accès général au système. De plus, l'outil comprend des fonctions d'analyse de compte qui détecteront les comptes abandonnés et vous indiqueront les dates d'expiration des mots de passe.
Ce système offre une base de règles pour la création de compte, imposant automatiquement les contrôles d'accès requis par toute norme de confidentialité des données. Vous pouvez configurer une politique de contrôle standard, puis la déployer sur tous vos domaines et vous assurer que ces normes créent tous les futurs comptes d'utilisateurs.
ManageEngine ADManager Plus s'installe sur les fenêtres et Serveur Windows, et il est également possible de l'ajouter en tant que service à votre Azur ou AWS compte.
Avantages:
- Contrôle complet sur toutes les instances AD
- Rapports de conformité aux normes
- Options de déploiement sur site et dans le cloud
Les inconvénients:
- Il ne couvre aucun autre système de gestion des droits d’accès en dehors d’AD.
Il existe une version gratuite de l'outil, limitée à la gestion de 100 objets dans AD. La version payante est proposée en deux éditions, disponibles sur un 30 jours d'essai gratuit .
FAQ sur la gestion des mots de passe Active Directory
Où l’expiration du mot de passe est-elle définie dans Active Directory ?
Pour connaître la date d'expiration du mot de passe d'un compte d'utilisateur dans Active Directory, ouvrez Utilisateurs et ordinateurs Active Directory et activezOptions avancées. Localisez le compte utilisateur et accédezpropriétés -> Editeur d'attributs -> Attributs -> pwdLastSet. Ce sera une valeur de date et d’heure. Pour faire expirer instantanément le compte, mettez en surbrillance lepwdLastSetchamp et cliquez surModifier. Entrer0pour la valeur et appuyez surD'ACCORD.
Pouvez-vous voir les mots de passe des utilisateurs dans Active Directory ?
Il n'est pas possible de voir le mot de passe d'un compte utilisateur dans le système Utilisateurs et ordinateurs Active Directory, ou ailleurs. Même si vous disposez des droits d'administrateur de domaine.
Qu'est-ce que l'attribut PwdLastSet d'Active Directory ?
PwdLastSetdonne la date et l'heure de la dernière modification du mot de passe du compte utilisateur. Vous pouvez le voir dans les propriétés du compte utilisateur dans Utilisateurs et ordinateurs Active Directory sous leÉditeur d'attributslanguette.