我有一个ONETIME业务要求移动约。从各个OU到另一个域的10,000个AD帐户。此举是在锁定的内部部署数据中心与云中的AD之间进行的。因此,我无法在两个域之间建立连接。应用程序正在从DC迁移到云以减轻安全限制,我们希望避免在所有帐户上更改密码。
我对AD没有多少经验,因为我更像是一个应用程序开发人员,而不是安全基础架构家伙 - 所以这里是我可能无知的问题。
我已经使用DSInternals.com使用Get-ADReplaccount(Windows Server 2008 R2)转储域,并将数据保存到文件中,但在此之后我不知道该怎么做。
我希望我现在可以使用此数据将帐户导入另一个域,在不同的OU下,并将它们全部“导入”(包括密码哈希)到另一台服务器上的新域。 / p>
如果使用Get-ADReplAccount提取,那么使用该数据的SET cmdlet是什么?
答案 0 :(得分:-1)
您可以使用DSInternals模块中的Set-SamAccountPasswordHash cmdlet将NTLM哈希值导入AD。例如:
Set-SamAccountPasswordHash -SamAccountName john -Domain ADATUM -NTHash 92937945b518814341de3f726500d4ff -Server dc1.adatum.com
可以使用Get-ADReplAccount在线检索哈希值,也可以使用同一模块中的Get-ADDBAccount离线检索哈希值。
但我们鼓励强制更改密码,因为此类帐户将缺少Kerberos AES密钥,因此在对以这种方式迁移的帐户进行身份验证时,只会使用Kerberos RC4。