Det finns många anledningar till att administratörer måste återställa Active Directory-lösenord för användarkonton, och det finns flera sätt att göra detta. Du kan använda Active Directory Users and Computers MMC, kommandoradsverktyget DSMOD, ADSI-programmering och PowerShell-cmdlets. Tredje parts Active Directory-hanteringsverktyg erbjuder också Active Directory-hanteringsuppgifter som inkluderar återställning av användarens lösenord. Du kan återställa lösenordet för ett enskilt användarkonto med hjälp av inbyggda verktyg och verktyg från tredje part, men om du vill återställa lösenordet för flera användarkonton måste du använda ett skript eller ett verktyg som kan hjälpa dig att välja alla användare och sedan ställa in lösenordet. I den här artikeln kommer vi att förklara olika sätt att återställa lösenord för användarkonton.
Handlingar för att återställa Active Directory-lösenord
För att du ska kunna utföra återställningen av lösenordet är det viktigt att notera att du måste ha tillräckliga behörigheter i Active Directory. Ett normalt användarkonto kan inte återställa lösenord för andra användarkonton. Du måste åtminstone vara medlem i säkerhetsgruppen Account Operations i Active Directory-domänen.
Återställning av lösenord med hjälp av MMC för Active Directory Users and Computers
Om du vill återställa lösenordet för ett användarkonto från MMC för Active Directory Users and Computers följer du nedanstående steg:
- Logga in på en dator med hjälp av ett domänanvändarkonto som är medlem i säkerhetsgruppen Accounts Operators.
- Öppna Active Directory Users and Computers.
- Hitta det användarkonto vars lösenord du vill återställa.
- I den högra rutan högerklickar du på användarkontot och klickar sedan på åtgärden ”Återställ lösenord”.
- Du måste skriva och bekräfta lösenordet.
Om du vill att användaren ska ändra lösenordet vid nästa inloggning måste du välja alternativet ”User Must Change Password at Next Logon” (Användaren måste ändra lösenordet vid nästa inloggning).
Problem: I MMC:n Active Directory Users and Computers (Active Directory-användare och datorer) kan du välja flera användarkonton och sedan ställa in ett gemensamt lösenord för valda användare. Ett problem med MMC-metoden för Active Directory Users and Computers är att du bara kan välja användare i en enda organisatorisk enhet och att endast ett gemensamt lösenord kan ställas in för valda användare. Om du behöver ställa in ett unikt lösenord för flera användarkonton måste du använda PowerShell-metoden. PowerShell ger bättre kontroll och hjälper dig att ställa in ett unikt lösenord för varje användare från en CSV-fil.
Återställning av lösenord med hjälp av kommandoraden Dsmod
Verktyget Dsmod för kommandoraden har använts under en längre tid. Dsmod står för Directory Service Modification (ändring av katalogtjänst). Verktyget utformades när Microsoft höll på att utveckla PowerShell cmdlets som skulle användas med de flesta roller och funktioner i Windows Server, inklusive Active Directory. Även om Dsmod inte längre används av Active Directory-administratörer eftersom PowerShell ger större flexibilitet än alla andra gamla verktyg, gör Dsmod ett ganska bra jobb när det gäller att ändra egenskaper för användarkonton, inklusive att återställa ett lösenord. För att återställa lösenordet för ett användarkonto med hjälp av Dsmod utför du det här kommandot:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Som du kan se i kommandot ovan kan kontexten ”Dsmod User” användas för att återställa lösenordet för ett Active Directory-användarkonto. Problemet med Dsmod är dock att du måste ange det unika namnet på det användarkonto vars lösenord du vill återställa. Dsmod accepterar med andra ord inte SamAccountName för ett användarkonto.
Återställning av lösenord med hjälp av PowerShell cmdlets
Den föredragna metoden för att återställa lösenordet för ett eller flera användarkonton har alltid varit PowerShell. Du kan använda Set-ADAccountPassword PowerShell cmdlet för att utföra återställning av lösenord för en eller flera användare. Det är viktigt att notera att Set-ADAccountPassword cmdlet har parametern ”-Identity”, som också kan acceptera SamAccountName för ett användarkonto, förutom att acceptera distinguished name och användarobjekt GUID. Detta är den stora fördelen jämfört med kommandoradsverktyget Dsmod. Om du vill återställa lösenordet för ett enskilt användarkonto utför du PowerShell-kommandot nedan:
Ovanstående kommando återställer lösenordet för ett användarkonto som anges i formatet distinguished name. Om du vill använda SamAccountName för användaren i cmdlet Set-ADAccountPassword använder du PowerShell-kommandot nedan:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Och även om båda PowerShell-kommandona ovan endast kan användas för ett enda användarkonto, kan du återställa lösenordet för mer än ett användarkonto genom att använda en CSV-fil som innehåller en lista över användarkonton vars lösenord du vill återställa och lägga till en ForEach-slinga. PowerShell-skriptet nedan återställer till exempel ett unikt lösenord som anges i CSV-filen för varje användare.
Ovanstående skript utgår från att en CSV-fil med namnet ”UserWithPass” har skapats under C:\Temp som innehåller SamAccountName och nytt lösenord för användare. Skriptet kontrollerar varje användarnamn och lösenord från CSV-filen och återställer sedan med hjälp av cmdlet Set-ADAccountPassword.
Användning av tredjepartshanteringsverktyg
Det finns tredjepartshanteringsverktyg som också erbjuder sätt att återställa Active Directory-lösenord. Vissa verktyg kan också användas för att återställa Active Directory-lösenord för flera användare från olika organisatoriska enheter.
Tip: Set-ADAccountPassword cmdlet kan också rikta sig till en organisatorisk produktionsenhet där användarna finns, men för att se till att ett unikt lösenord anges för alla användare måste du inkludera en logik i skriptet som kan generera ett unikt lösenord för varje användare som behandlas av skriptet.
Det går visserligen att använda Active Directory Users and Computers MMC för att återställa Active Directory-lösenord, men PowerShell-metoden ger större flexibilitet och hjälper också till att återställa ett unikt lösenord för varje användare som anges i en CSV-fil.
Foto:
.