Existuje mnoho důvodů, proč správci musí resetovat hesla uživatelských účtů ve službě Active Directory, a existuje několik způsobů, jak to provést. Můžete použít nástroj MMC pro uživatele a počítače služby Active Directory, nástroj příkazového řádku DSMOD, programování ADSI a rutiny prostředí PowerShell. Nástroje třetích stran pro správu služby Active Directory také nabízejí úlohy správy služby Active Directory, které zahrnují resetování hesel uživatelů. Pomocí vestavěných nástrojů a nástrojů třetích stran můžete provést operaci resetování hesla pro jeden uživatelský účet, ale v případě, že chcete resetovat heslo pro více uživatelských účtů, budete muset použít skriptovací přístup nebo použít nástroj, který vám pomůže vybrat všechny uživatele a poté nastavit heslo. V tomto článku si vysvětlíme různé způsoby resetování hesel uživatelských účtů.
Oprávnění k resetování hesel služby Active Directory
Před provedením operace resetování hesla je důležité si uvědomit, že musíte mít dostatečná oprávnění ve službě Active Directory. Běžný uživatelský účet nemůže resetovat hesla jiných uživatelských účtů. Minimálně musíte být členem skupiny zabezpečení Account Operations v doméně Active Directory.
Resetování hesel pomocí nástroje MMC Active Directory Users and Computers
Pokud chcete resetovat heslo uživatelského účtu z nástroje MMC Active Directory Users and Computers, postupujte podle následujících kroků:
- Přihlaste se k počítači pomocí uživatelského účtu domény, který je členem skupiny zabezpečení Accounts Operators.
- Otevřete Active Directory Users and Computers.
- Najděte uživatelský účet, jehož heslo chcete resetovat.
- V pravém podokně klikněte pravým tlačítkem myši na uživatelský účet a poté klikněte na akci „Resetovat heslo“.
- Heslo musíte zadat a potvrdit.
V případě, že chcete, aby si uživatel při dalším přihlášení změnil heslo, musíte vybrat možnost „Uživatel musí změnit heslo při dalším přihlášení“.
Problém: V nástroji MMC Active Directory Users and Computers můžete vybrat více uživatelských účtů a poté nastavit společné heslo pro vybrané uživatele. Jedním z problémů přístupu Active Directory Users and Computers MMC je, že lze vybrat pouze uživatele v jedné organizační jednotce a pro vybrané uživatele lze nastavit pouze společné heslo. V případě, že potřebujete nastavit jedinečné heslo pro více uživatelských účtů, budete muset použít přístup PowerShell. Prostředí PowerShell poskytuje lepší kontrolu a pomáhá nastavit jedinečné heslo pro každého uživatele ze souboru CSV.
Resetování hesel pomocí příkazového řádku Dsmod
Nástroj příkazového řádku Dsmod se používá již delší dobu. Dsmod je zkratka pro modifikaci adresářové služby. Nástroj byl navržen v době, kdy společnost Microsoft vyvíjela rutiny prostředí PowerShell pro použití s většinou rolí a funkcí systému Windows Server, včetně služby Active Directory. Přestože správci služby Active Directory již nástroj Dsmod nepoužívají, protože prostředí PowerShell poskytuje větší flexibilitu než všechny ostatní staré nástroje, odvádí Dsmod docela dobrou práci, pokud jde o úpravu vlastností uživatelských účtů včetně obnovení hesla. Chcete-li resetovat heslo uživatelského účtu pomocí příkazu Dsmod, spusťte tento příkaz:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Jak vidíte z výše uvedeného příkazu, kontext „Dsmod User“ lze použít k resetování hesla uživatelského účtu služby Active Directory. Problémem příkazu Dsmod je však to, že musíte zadat rozlišující název uživatelského účtu, jehož heslo chcete resetovat. Jinými slovy, Dsmod neakceptuje SamAccountName uživatelského účtu.
Resetování hesel pomocí rutin prostředí PowerShell
Přednostní metodou resetování hesla jednoho nebo více uživatelských účtů bylo vždy prostředí PowerShell. Pomocí rutiny Set-ADAccountPassword prostředí PowerShell můžete provádět operace resetování hesla pro jednoho nebo více uživatelů. Je důležité si uvědomit, že rutina Set-ADAccountPassword poskytuje parametr „-Identity“, který může kromě akceptace rozlišujícího jména a GUID uživatelského objektu přijmout také SamAccountName uživatelského účtu. To je hlavní výhoda oproti nástroji příkazového řádku Dsmod. Chcete-li resetovat heslo pro jeden uživatelský účet, proveďte níže uvedený příkaz prostředí PowerShell:
Výše uvedený příkaz resetuje heslo uživatelského účtu zadaného ve formátu distinguished name. Pokud chcete použít SamAccountName uživatele v rutině Set-ADAccountPassword, použijte níže uvedený příkaz prostředí PowerShell:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Ačkoli oba výše uvedené příkazy prostředí PowerShell lze použít pouze pro jeden uživatelský účet, použití souboru CSV obsahujícího seznam uživatelských účtů, jejichž heslo chcete resetovat, a přidání smyčky ForEach vám pomůže resetovat heslo pro více než jeden uživatelský účet. Například níže uvedený skript prostředí PowerShell resetuje jedinečné heslo zadané v souboru CSV pro každého uživatele.
Výše uvedený skript předpokládá, že je vytvořen soubor CSV s názvem „UserWithPass“ v adresáři C:\Temp, který obsahuje SamAccountName a New Password uživatelů. Skript zkontroluje jednotlivá uživatelská jména a hesla ze souboru CSV a poté je resetuje pomocí rutiny Set-ADAccountPassword.
Použití nástrojů pro správu třetích stran
Existují nástroje pro správu třetích stran, které rovněž nabízejí způsoby resetování hesel služby Active Directory. Některé nástroje lze použít i k resetování hesel služby Active Directory pro více uživatelů z různých organizačních jednotek.
Tip: Rutina Set-ADAccountPassword se může zaměřit i na produkční organizační jednotku, kde se nacházejí uživatelé, ale aby bylo zajištěno nastavení jedinečného hesla pro všechny uživatele, bude nutné do skriptu zahrnout logiku, která dokáže vygenerovat jedinečné heslo pro každého uživatele zpracovávaného skriptem.
Když můžete k resetování hesel služby Active Directory použít konzolu MMC pro uživatele a počítače služby Active Directory, použití metody prostředí PowerShell poskytuje větší flexibilitu a také pomáhá při resetování jedinečného hesla pro každého uživatele zadaného v souboru CSV.
Kreditní fotografie:
.