Der er mange grunde til, at administratorer skal nulstille Active Directory-adgangskoder til brugerkonti, og der er flere måder at gøre det på. Du kan bruge Active Directory Users and Computers MMC, DSMOD-kommandolinjeværktøjet, ADSI-programmering og PowerShell-cmdlets. Active Directory-håndteringsværktøjer fra tredjepart tilbyder også Active Directory-håndteringsopgaver, som omfatter nulstilling af brugernes adgangskoder. Du kan udføre nulstilling af adgangskoden for en enkelt brugerkonto ved hjælp af indbyggede værktøjer og værktøjer fra tredjeparter, men hvis du ønsker at nulstille adgangskoden for flere brugerkonti, skal du bruge en scripting-tilgang eller bruge et værktøj, der kan hjælpe dig med at vælge alle brugere og derefter indstille adgangskoden. I denne artikel forklarer vi forskellige måder at nulstille adgangskoder til brugerkonti på.
Rettigheder til nulstilling af Active Directory-adgangskoder
Hvor du kan udføre nulstillingsoperationen af adgangskoden, er det vigtigt at bemærke, at du skal have tilstrækkelige tilladelser i Active Directory. En normal brugerkonto kan ikke nulstille adgangskoder for andre brugerkonti. Du skal som minimum være medlem af sikkerhedsgruppen Kontooperatører i Active Directory-domænet.
Gendannelse af adgangskoder ved hjælp af Active Directory Users and Computers MMC
Hvis du vil nulstille adgangskoden for en brugerkonto fra Active Directory Users and Computers MMC, skal du følge nedenstående trin:
- Log ind på en computer med en domænebrugerkonto, der er medlem af sikkerhedsgruppen Kontooperatører.
- Åbn Active Directory Users and Computers.
- Find den brugerkonto, hvis adgangskode du vil nulstille.
- Højreklik i højre rude på brugerkontoen, og klik derefter på handlingen “Nulstil adgangskode”.
- Du skal indtaste og bekræfte adgangskoden.
Hvis du ønsker, at brugeren skal ændre adgangskoden ved næste logon, skal du vælge indstillingen “Brugeren skal ændre adgangskode ved næste logon”.
Problem: I Active Directory Users and Computers MMC kan du vælge flere brugerkonti og derefter indstille en fælles adgangskode for de valgte brugere. Et problem med Active Directory Users and Computers MMC-tilgangen er, at du kun kan vælge brugere i en enkelt organisatorisk enhed, og at der kun kan indstilles en fælles adgangskode for de valgte brugere. Hvis du har brug for at indstille en unik adgangskode for flere brugerkonti, skal du bruge PowerShell-tilgangen. PowerShell giver en bedre kontrol og hjælper dig med at indstille en unik adgangskode for hver bruger fra en CSV-fil.
Nulstilling af adgangskoder ved hjælp af Dsmod-kommandolinjen
Dsmod-kommandolinjeværktøjet har været i brug i et stykke tid. Dsmod står for Directory Service Modification (ændring af katalogtjeneste). Værktøjet blev designet, da Microsoft var i gang med at udvikle PowerShell cmdlets til brug med de fleste af Windows Server-rollerne og -funktionerne, herunder Active Directory. Selv om Dsmod ikke længere bruges af Active Directory-administratorer, fordi PowerShell giver større fleksibilitet i forhold til alle andre gamle værktøjer, gør Dsmod et ganske godt stykke arbejde, når det gælder ændring af brugerkontiegenskaber, herunder nulstilling af en adgangskode. Hvis du vil nulstille adgangskoden for en brugerkonto ved hjælp af Dsmod, skal du udføre denne kommando:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Som du kan se i ovenstående kommando, kan konteksten “Dsmod User” bruges til at nulstille adgangskoden for en Active Directory-brugerkonto. Problemet med Dsmod er imidlertid, at du skal angive det fornemme navn på den brugerkonto, hvis adgangskode du ønsker at nulstille. Dsmod accepterer med andre ord ikke SamAccountName for en brugerkonto.
Nulstilling af adgangskoder ved hjælp af PowerShell cmdlets
Den foretrukne metode til nulstilling af adgangskoden for en enkelt eller flere brugerkonti har altid været PowerShell. Du kan bruge Set-ADAccountPassword PowerShell-cmdletten til at udføre nulstilling af adgangskoden for enkelte eller flere brugere. Det er vigtigt at bemærke, at Set-ADAccountPassword cmdlet indeholder parameteren “-Identity”, som også kan acceptere SamAccountName for en brugerkonto ud over at acceptere distinguished name og brugerobjekt GUID. Dette er den største fordel i forhold til kommandolinjeværktøjet Dsmod. Hvis du vil nulstille adgangskoden for en enkelt brugerkonto, skal du udføre PowerShell-kommandoen nedenfor:
Overstående kommando nulstiller adgangskoden for en brugerkonto, der er angivet i formatet distinguished name. Hvis du ønsker at bruge brugerens SamAccountName i cmdletten Set-ADAccountPassword, skal du bruge PowerShell-kommandoen nedenfor:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Mens begge ovenstående PowerShell-kommandoer kun kan bruges til en enkelt brugerkonto, kan du nulstille adgangskoden for mere end én brugerkonto ved at bruge en CSV-fil, der indeholder en liste over brugerkonti, hvis adgangskode du ønsker at nulstille, og ved at tilføje en ForEach-loop. PowerShell-scriptet nedenfor nulstiller f.eks. en unik adgangskode, der er angivet i CSV-filen for hver bruger.
Overstående script forudsætter, at der er oprettet en CSV-fil med navnet “UserWithPass” under C:\Temp, der indeholder SamAccountName og ny adgangskode for brugerne. Scriptet kontrollerer hvert brugernavn og adgangskode fra CSV-filen og nulstiller derefter ved hjælp af cmdletten Set-ADAccountPassword.
Anvendelse af tredjepartsstyringsværktøjer
Der findes tredjepartsstyringsværktøjer, der også tilbyder måder at nulstille Active Directory-adgangskoder på. Nogle værktøjer kan også bruges til at nulstille Active Directory-adgangskoder for flere brugere fra forskellige organisatoriske enheder.
Tip: Set-ADAccountPassword cmdlet kan også være rettet mod en organisatorisk produktionsenhed, hvor brugerne befinder sig, men for at sikre, at der indstilles en unik adgangskode for alle brugere, skal du inkludere en logik i scriptet, der kan generere en unik adgangskode for hver bruger, der behandles af scriptet.
Selv om du kan bruge Active Directory Users and Computers MMC til at nulstille Active Directory-adgangskoder, giver brugen af PowerShell-metoden større fleksibilitet og hjælper også med at nulstille en unik adgangskode for hver bruger, der er angivet i en CSV-fil.
Fotokredit: