Q&A
質問内容
Windows PowerShellを使用して、Windowsパスワードの変更を考えています。
以下のソースコードを作成して、Windowsパスワードの変更はできました。
しかし、もう一点追加で処理を入れたいと考えています。
その処理はパスワード変更する前に、変更前パスワードと変更するパスワード(以下のソースで$Password)が同一文字列ではないことのチェック処理を入れたいと考えています。
ようは変更するパスワードは必ず変更前パスワード以外の文字列にする。
そこでご質問ですが、どの様な処理を追加すれば実現しますか。
また、サンプルのソースコードがありましたらご提供をお願いいたします。
PowerShell パスワード変更ソースコード
function ChangePassword($UserID, $Password){
$hostname = hostname [ADSI]$UpdateUser = "WinNT://$HostName/$UserID,User" $UpdateUser.SetPassword($Password) $UpdateUser.SetInfo()
}
$UserID = "TEST"
$Password = "TEST123456"
ChangePassword $UserID $Password
回答2件
0
ベストアンサー
こんばんは。
漠然とした回答になりますがご容赦を。
まず、PowerShellに限らずWindows OSの仕組みとしてユーザーの現在のパスワードを知る方法はありません。
(あればセキュリティ的に大問題になるため)
そして、ユーザーが過去に設定したパスワードに対して、セキュリティポリシーの「パスワードの履歴を記録する」で履歴を記録し、過去に使用したパスワードを再利用できない様にすることはできるのですが、履歴の内容を参照することは当然できません。
あくまでもパスワード変更を試行した際に「パスワードの複雑さの要件エラー」となるだけです。
(もしかしたら別種のエラーだったかもしれません...ここはちょっと記憶が曖昧です。
それでもセキュリティの都合「パスワードの履歴に合致している」エラーを特定することはできない筈です。)
このため、基本的にはteratail_tさんの望まれる様なことは出来ないとお考えください。
Windowsでは「パスワードの履歴を記録する」の仕組みに任せることが正規の方法です。
回避策(仮説)
実際に試したことはないのであくまで仮説ですが、「新しいパスワードが現在のパスワードと同じ」であることだけなら以下の様にすれば検知できる気がします。
- パスワードを変更する前に、新しいパスワードを使い認証が必要な処理を試行する
- 新しいパスワードが現在のパスワードと異なる場合は認証に失敗するので、失敗を検知したらパスワードの変更を試みる
- 新しいパスワードと現在のパスワードが同じ場合は認証に成功するので、パスワードの変更を中断する
認証が必要な処理の具体例が思いつかないのと、このやり方では必ず一度は認証に失敗する必要があるため、セキュリティログが残るなどの運用上問題になる部分が発生する可能性があります。
それでもよければご検討ください。
投稿2018/06/23 13:32
総合スコア796
0
回答ではありませんが、
そういう事をするには、パスワードを平文(復号可能な暗号化も含む)で保存する必要があるので、やめた方が良いと思います。
そもそも
変更するパスワードは必ず変更前パスワード以外の文字列にする。
が意味ないことですし。
投稿2018/06/23 07:52
総合スコア84538
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/06/25 00:38