Sincronización de contraseñas de PowerShell entre dominios de Active Directory

El script de PowerShell que se proporciona a continuación sincroniza las contraseñas de los usuarios entre sus cuentas de usuario en dos dominios. ADSelfService Plus, una solución de inicio de sesión único y administración de contraseñas de autoservicio, sincroniza los cambios realizados en la contraseña de un usuario del dominio con sus cuentas de usuario en otros dominios de Active Directory e incluso sus cuentas de usuario en aplicaciones empresariales como Google Workspace (anteriormente G Suite) y Office 365. A continuación se muestra una comparación entre la sincronización de contraseñas entre dos dominios de AD usando PowerShell y ADSelfService Plus:

PowerShell

Para sincronizar contraseñas en la cuenta de un usuario en varios dominios, se debe instalar el módulo DS-Internals
Install-Module -Name DSInternals

Una vez que haya instalado el módulo DS-Internals, ejecute el siguiente script y cree sus credenciales con este script:

$credential = Get-Credential;
$credential | Export-CliXml -Path '<enter the path of an XML file here>';

Ahora, ejecute el siguiente script:

$sourceDomainNetBIOS = '<primary domain>';
$sourceDomainFQDN = '<primary domain>.com';
$sourceDomainDN = 'DC=<primary domain>,DC=com';
$sourceDomainCredential = Import-CliXml -Path '<enter the file path of an xml file here>';
$targetDomainNetBIOS = '<secondary domain>';
$targetDomainFQDN = '<secondary domain>.com';
$targetDomainDN = 'DC=<secondary domain>,DC=com';
$targetDomainCredential = Import-CliXml -Path '<enter file path of an XML file here>';
$syncGroup = 'Some Group';  $hashes = Get-ADReplAccount -All -NamingContext $sourceDomainDN -Server $sourceDomainFQDN -Credential $sourceDomainCredential;
$users = Get-ADGroupMember $syncGroup -server $targetDomainFQDN -Credential $targetDomainCredential;
foreach ($user in $users)
{
$currentUserHash = $hashes | ? {$_.saMAccountName -eq $user.SamAccountName};
$NTHash = ([System.BitConverter]::ToString($currentUserHash.NTHash) -replace '-','').ToLower();
Set-SamAccountPasswordHash -SamAccountName $user.SamAccountName -Domain $targetDomainNetBIOS -NTHash $NTHash -Server $targetDomainFQDN -Credential $targetDomainCredential;
 Copied
Click to copy entire script

ADSelfService Plus

La función Sincronización de contraseñas sincroniza los cambios realizados en la contraseña de un usuario del dominio con sus cuentas de usuario en otros dominios y aplicaciones empresariales.

Para la configuración:

  • En ADSelfService Plus, vaya a Aplicación y haga clic en Active Directory.
  • Proporcione un nombre para la aplicación
  • Seleccione el Nombre de dominio para el dominio con el que se deben sincronizar las contraseñas.
  • Seleccione la directiva de ADSelfService Plus cuya contraseña de los usuarios debe sincronizarse con sus cuentas de usuario en otros dominios.
  • Haga clic en Avanzado y seleccione el Atributo de origen y el Atributo de destino en el dominio a sincronizar. Cuando estos dos atributos están vinculados a las cuentas de usuario de ambos dominios, las contraseñas se sincronizan desde el dominio principal al secundario.
  • Haga clic en Agregar aplicación.
PowerShell password sync between AD domains
Ventajas de ADSelfService Plus:
  • Especifique qué usuario puede sincronizar sus contraseñas de dominio de AD:

    Al crear la directiva de ADSelfService Plus, los usuarios que pertenecen a dominios, unidades organizativas y grupos específicos pueden habilitarse para sincronizar sus contraseñas.

  • Sincronice las contraseñas entre múltiples dominios:

    Los administradores pueden habilitar la sincronización de contraseñas de AD entre cualquier número de dominios con solo unos pocos clics.

  • Sincronice los cambios de contraseña realizados a través de múltiples medios:

    Con ADSelfService Plus, los restablecimientos de contraseñas realizados desde el portal y aplicación móvil de ADSelfService, y las pantallas de inicio de sesión de Windows, Mac OS y Linux se pueden sincronizar con las aplicaciones integradas. Los cambios de contraseña nativos (restablecimientos de contraseña en el portal ADUC y cambios de contraseña en la consola Ctrl+Alt+Supr) también se pueden sincronizar.

  • Sincronice la contraseña de AD en múltiples aplicaciones

    Con ADSelfService Plus, las contraseñas de los usuarios se pueden sincronizar entre los dominios de AD y otros sistemas y aplicaciones empresariales como AD LDS, Office 365 y Salesforce.

  • Audite la sincronización de contraseñas:

    Las acciones de sincronización durante un restablecimiento y cambio de contraseña se auditan como informes que se pueden generar fácilmente con un solo clic y exportar en formatos como CSV, HTML, XLS y PDF.

Grandes compañías de latinoamérica confían en ADSelfService Plus

Emprenda un viaje hacia la seguridad de identidad y Zero Trust