Приведенный ниже сценарий PowerShell позволяет синхронизировать пароли пользователей между их учетными записями в двух доменах. ADSelfService Plus - это решение для самостоятельного управления паролями и единого входа, которое синхронизирует изменения, внесенные в пароль пользователя домена, с его учетными записями в других доменах Active Directory и даже с его учетными записями в корпоративных приложениях, таких как Google Workspace (ранее G Suite) и Office 365. Ниже приведено сравнение синхронизации паролей между двумя доменами AD с использованием PowerShell и ADSelfService Plus:
| PowerShell | ADSelfService Plus |
|---|---|
|
Для синхронизации паролей между учетными записями пользователей в нескольких доменах необходимо установить модуль DS-Internals. Install-Module -Name DSInternalsПосле установки модуля DS-Internals запустите следующий сценарий и создайте свои учетные данные с помощью этого сценария: $credential = Get-Credential; $credential | Export-CliXml -Path '<введите путь к XML-файлу>'; Теперь запустите следующий сценарий $sourceDomainNetBIOS = '<основной домен>'; $sourceDomainFQDN = '<основной домен>.com'; $sourceDomainDN = 'DC=<основной домен>,DC=com'; $sourceDomainCredential = Import-CliXml -Path '<введите путь к XML-файлу>'; $targetDomainNetBIOS = '<дополнительный домен>'; $targetDomainFQDN = '<дополнительный домен>.com'; $targetDomainDN = 'DC=<дополнительный домен>,DC=com'; $targetDomainCredential = Import-CliXml -Path '<введите путь к XML-файлу>'; $syncGroup = 'Группа'; $hashes = Get-ADReplAccount -All -NamingContext $sourceDomainDN -Server $sourceDomainFQDN -Credential $sourceDomainCredential; $users = Get-ADGroupMember $syncGroup -server $targetDomainFQDN -Credential $targetDomainCredential; foreach ($user in $users) { $currentUserHash = $hashes | ? {$_.saMAccountName -eq $user.SamAccountName}; $NTHash = ([System.BitConverter]::ToString($currentUserHash.NTHash) -replace '-','').ToLower(); Set-SamAccountPasswordHash -SamAccountName $user.SamAccountName -Domain $targetDomainNetBIOS -NTHash $NTHash -Server $targetDomainFQDN -Credential $targetDomainCredential; |
Функция синхронизации паролей синхронизирует изменения, внесенные в пароль пользователя домена, с его учетными записями в других доменах и корпоративных приложениях. Для настройки:
 |
При создании политики ADSelfService Plus пользователям, принадлежащим определенным доменам, подразделениям и группам, можно разрешить синхронизировать свои пароли.
Администраторы могут включить синхронизацию паролей AD между любым количеством доменов всего несколькими щелчками мышью.
ADSelfService Plus позволяет синхронизировать операции сброса паролей на портале ADSelfService и в мобильном приложении, а также на экранах входа в систему Windows, macOS и Linux с интегрированными приложениями. Также можно синхронизировать собственные изменения паролей (сброс паролей на портале ADUC и изменение паролей в консоли CTRL+ALT+DEL).
С помощью ADSelfService Plus пароли пользователей можно синхронизировать между доменами AD и другими корпоративными системами и приложениями, такими как AD LDS, Office 365 и Salesforce.
Действия синхронизации во время сброса и изменения пароля фиксируются в отчетах об аудите, которые можно с легкостью создать одним щелчком мыши и экспортировать в такие форматы, как CSV, HTML, XLS и PDF.