Sincronización de contraseñas de PowerShell entre dominios de Active Directory
El script de PowerShell que se proporciona a continuación sincroniza las contraseñas de los usuarios entre sus cuentas de usuario en dos dominios. ADSelfService Plus, una solución de inicio de sesión único y administración de contraseñas de autoservicio, sincroniza los cambios realizados en la contraseña de un usuario del dominio con sus cuentas de usuario en otros dominios de Active Directory e incluso sus cuentas de usuario en aplicaciones empresariales como Google Workspace (anteriormente G Suite) y Office 365. A continuación se muestra una comparación entre la sincronización de contraseñas entre dos dominios de AD usando PowerShell y ADSelfService Plus:
PowerShell
Install-Module -Name DSInternals
Una vez que haya instalado el módulo DS-Internals, ejecute el siguiente script y cree sus credenciales con este script:
$credential = Get-Credential; $credential | Export-CliXml -Path '<enter the path of an XML file here>';
Ahora, ejecute el siguiente script:
$sourceDomainNetBIOS = '<primary domain>'; $sourceDomainFQDN = '<primary domain>.com'; $sourceDomainDN = 'DC=<primary domain>,DC=com'; $sourceDomainCredential = Import-CliXml -Path '<enter the file path of an xml file here>'; $targetDomainNetBIOS = '<secondary domain>'; $targetDomainFQDN = '<secondary domain>.com'; $targetDomainDN = 'DC=<secondary domain>,DC=com'; $targetDomainCredential = Import-CliXml -Path '<enter file path of an XML file here>'; $syncGroup = 'Some Group'; $hashes = Get-ADReplAccount -All -NamingContext $sourceDomainDN -Server $sourceDomainFQDN -Credential $sourceDomainCredential; $users = Get-ADGroupMember $syncGroup -server $targetDomainFQDN -Credential $targetDomainCredential; foreach ($user in $users) { $currentUserHash = $hashes | ? {$_.saMAccountName -eq $user.SamAccountName}; $NTHash = ([System.BitConverter]::ToString($currentUserHash.NTHash) -replace '-','').ToLower(); Set-SamAccountPasswordHash -SamAccountName $user.SamAccountName -Domain $targetDomainNetBIOS -NTHash $NTHash -Server $targetDomainFQDN -Credential $targetDomainCredential;
ADSelfService Plus
Para la configuración:
- En ADSelfService Plus, vaya a Aplicación y haga clic en Active Directory.
- Proporcione un nombre para la aplicación
- Seleccione el Nombre de dominio para el dominio con el que se deben sincronizar las contraseñas.
- Seleccione la directiva de ADSelfService Plus cuya contraseña de los usuarios debe sincronizarse con sus cuentas de usuario en otros dominios.
- Haga clic en Avanzado y seleccione el Atributo de origen y el Atributo de destino en el dominio a sincronizar. Cuando estos dos atributos están vinculados a las cuentas de usuario de ambos dominios, las contraseñas se sincronizan desde el dominio principal al secundario.
- Haga clic en Agregar aplicación.
- Especifique qué usuario puede sincronizar sus contraseñas de dominio de AD:
Al crear la directiva de ADSelfService Plus, los usuarios que pertenecen a dominios, unidades organizativas y grupos específicos pueden habilitarse para sincronizar sus contraseñas.
- Sincronice las contraseñas entre múltiples dominios:
Los administradores pueden habilitar la sincronización de contraseñas de AD entre cualquier número de dominios con solo unos pocos clics.
- Sincronice los cambios de contraseña realizados a través de múltiples medios:
Con ADSelfService Plus, los restablecimientos de contraseñas realizados desde el portal y aplicación móvil de ADSelfService, y las pantallas de inicio de sesión de Windows, Mac OS y Linux se pueden sincronizar con las aplicaciones integradas. Los cambios de contraseña nativos (restablecimientos de contraseña en el portal ADUC y cambios de contraseña en la consola Ctrl+Alt+Supr) también se pueden sincronizar.
- Sincronice la contraseña de AD en múltiples aplicaciones
Con ADSelfService Plus, las contraseñas de los usuarios se pueden sincronizar entre los dominios de AD y otros sistemas y aplicaciones empresariales como AD LDS, Office 365 y Salesforce.
- Audite la sincronización de contraseñas:
Las acciones de sincronización durante un restablecimiento y cambio de contraseña se auditan como informes que se pueden generar fácilmente con un solo clic y exportar en formatos como CSV, HTML, XLS y PDF.