查找不需要密码的帐户（空白密码）

在本文中，您将了解如何查找 PasswordNotRequired 设置为 true 的 Active Directory 用户帐户。当用户配置为不需要密码时，这意味着他们可以拥有空白密码。我还将向您展示如何设置该属性以及如何删除它。

什么是PasswordNotRequired 属性

在 Active Directory 中，没有名为“PasswordNotRequired”的属性，而是存储在 userAccountControl 属性中的值。当用户帐户配置了PasswordNotRequired 时，这意味着该用户帐户可以具有空白密码。这最初不会将密码设置为空白，但允许用户在更改或重置密码时设置空白密码。

下面的屏幕截图显示用户 test01 配置了不需要密码。

如何为用户配置不需要密码（空白密码）？

有多种方法可以将用户配置为允许使用空白密码。

• 电源外壳
• 阿拉伯联合酋长国
• 帐户创建不正确

选项 1.PowerShell

下面是一个示例 PowerShell 命令，用于将 PasswordNotRequired 标志设置为 true。 当您运行此命令时，它会更新 UserAccountControl 的值（同样没有名为 PasswordNotRequired 的实际属性）。

set-aduser -Identity test.user02 -PasswordNotRequired $true

选项 2.ADUC

在 Active Directory 用户和计算机中，您可以编辑用户帐户并将 userAccountControl 值设置为 544。管理员通常不会执行此操作，并且更改此属性可能存在风险。

选项 3. 帐户创建不正确

AD 用户帐户可以使用不正确的标志创建，这意味着创建帐户时可能会设置不需要密码标志（以及其他选项）。如果您使用第 3 方工具或脚本创建帐户，请确保检查 userAccountControl 值。

如果用户配置空密码，会存在哪些安全风险？

当用户配置为无密码（空白密码）时，会带来多种安全风险。

• 未经授权的访问：无需密码，任何知道帐户名的人都可以登录并访问公司数据。
• 账户被盗：攻击者可以轻松利用空白密码的账户访问敏感数据、发起网络钓鱼攻击和传播病毒。
• 合规性违规：许多合规性标准要求用户拥有密码。使用空白密码可能会导致违规和法律后果。
• 数据泄露：空白密码使未经授权的个人可以轻松访问公司数据，从而导致数据泄露。

如果没有密码验证，您只需使用帐户名即可登录 Windows 计算机。

我使用组策略设置了域密码策略，用户仍然可以设置空白密码吗？

是的。

例如，我的域密码策略配置为要求最小密码长度为 8 个字符。

即使实施了上述策略，用户也可以配置空白密码、登录计算机并访问公司数据。当帐户配置了PasswordNotRequired时，它基本上绕过了域密码策略。这是一个很大的安全问题，也是报告和审核用户帐户密码设置的重要原因。

如何查找不需要密码的 Active Directory 用户（允许使用空白密码）

定期对您的 Active Directory 用户帐户进行审核以检查不安全的设置非常重要。这可以使用 PowerShell 和第三方工具来完成。

借助 PowerShell，您可以使用以下命令轻松找到所有不需要密码的用户。

Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties PasswordNotRequired | select name, PasswordNotRequired

AD Pro Toolkit 提供多个密码和安全报告来帮助您审核用户。这些报告可以设置为按自动计划运行。

用户报告 > 密码报告 > 不需要密码的用户。

用户报告 > 常规 > 用户帐户控制不是 512

该报告将向您显示所有不正常的帐户，这意味着它们设置了特殊的标志。

AD Pro 工具包包括 200 多个针对用户、计算机、组、安全等的内置报告。

下载免费试用版。

如何删除 AD 用户的 PasswordNotRequired

如果在帐户上配置了PasswordNotRequired，则有多种方法可以删除。

选项 1.PowerShell

通过 PowerShell，您可以使用以下命令，这会将 PasswordNotRequire 值更改为 false。

Set-ADUser -itentity test.user1 -PasswordNotRequired $false

选项 2.ADUC

在 Active Directory 中，您可以将用户 userAccountControl 值更改为 512。这会将帐户设置回正常状态。

选项 3. 删除多个帐户的 PasswordNotRequired

如果您有多个帐户需要删除PasswordNotRequire，则可以使用AD Pro Toolkit。该工具可让您轻松批量修改用户帐户。

第 1 步。创建了一个包含 ID 列和 useraccountcontrol 列的 csv。

在 ID 列中输入用户并将 userAccountControl 值设置为 512。

第 2 步。运行批量更新用户工具

单击选择模板按钮并选择您的 csv 文件。

单击运行开始更新过程。

自动查找不安全和有风险的用户帐户

手动检查 Active Directory 中的帐户是否存在不安全设置可能非常耗时且容易出错。此外，PowerShell 可能很复杂，需要不断更改才能运行特定报告。

AD Pro Toolkit 提供了 200 多个内置报告，只需单击按钮即可运行。以下是一些可以帮助您发现安全问题的报告。

• 不需要密码的用户
• 密码设置为永不过期的用户
• 从未更改过密码的用户
• 密码过期的用户
• 错误的密码尝试
• 帐户未过期的用户
• 帐户已过期的用户
• x 天内不活跃的帐户
• 过去 x 天内未登录的用户
• 用户不受意外删除保护
• 使用旧密码的管理员

概括

配置为空密码的用户帐户存在巨大的安全风险。强烈建议扫描您的域帐户并查找配置有 PasswordNotRequire 标志的任何帐户。此外，您应该定期扫描不安全的帐户，我建议至少每月一次。在某些环境中，您可能需要更频繁甚至实时运行审核。

在本指南中，我向您展示了PasswordNotRequired 属性是什么、如何配置空白密码以及如何扫描您的域以查找不需要将密码设置为 true 的帐户。

您可能还喜欢：

• 查找密码设置为永不过期的用户
• 获取用户真实的上次登录时间
• 报告所有用户上次密码更改日期