Es gibt viele Gründe, warum Administratoren Active Directory-Kennwörter für Benutzerkonten zurücksetzen müssen, und es gibt mehrere Möglichkeiten, dies zu tun. Sie können die Active Directory Users and Computers MMC, das DSMOD-Befehlszeilentool, die ADSI-Programmierung und PowerShell-Cmdlets verwenden. Active Directory-Verwaltungstools von Drittanbietern bieten auch Active Directory-Verwaltungsaufgaben, die das Zurücksetzen von Benutzerkennwörtern beinhalten. Wenn Sie jedoch das Kennwort für mehrere Benutzerkonten zurücksetzen möchten, müssen Sie einen Skripting-Ansatz verwenden oder ein Tool einsetzen, mit dem Sie alle Benutzer auswählen und dann das Kennwort festlegen können. In diesem Artikel werden verschiedene Möglichkeiten zum Zurücksetzen von Kennwörtern für Benutzerkonten erläutert.
Berechtigungen zum Zurücksetzen von Active Directory-Kennwörtern
Bevor Sie den Vorgang zum Zurücksetzen von Kennwörtern durchführen können, ist es wichtig zu beachten, dass Sie über ausreichende Berechtigungen in Active Directory verfügen müssen. Ein normales Benutzerkonto kann keine Kennwörter anderer Benutzerkonten zurücksetzen. Sie müssen mindestens Mitglied der Sicherheitsgruppe „Kontobetrieb“ in der Active Directory-Domäne sein.
Kennwörter mit Active Directory-Benutzer und -Computer MMC zurücksetzen
Wenn Sie das Kennwort eines Benutzerkontos über Active Directory-Benutzer und -Computer MMC zurücksetzen möchten, gehen Sie wie folgt vor:
- Melden Sie sich an einem Computer mit einem Domänenbenutzerkonto an, das Mitglied der Sicherheitsgruppe „Kontobetrieb“ ist.
- Öffnen Sie Active Directory-Benutzer und -Computer.
- Suchen Sie das Benutzerkonto, dessen Kennwort Sie zurücksetzen möchten.
- Klicken Sie im rechten Fensterbereich mit der rechten Maustaste auf das Benutzerkonto und klicken Sie dann auf die Aktion „Kennwort zurücksetzen“.
- Sie müssen das Kennwort eingeben und bestätigen.
Wenn Sie möchten, dass der Benutzer das Kennwort bei der nächsten Anmeldung ändert, müssen Sie die Option „Benutzer muss Kennwort bei nächster Anmeldung ändern“ auswählen.
Problem: In der MMC für Active Directory-Benutzer und -Computer können Sie mehrere Benutzerkonten auswählen und dann ein gemeinsames Kennwort für die ausgewählten Benutzer festlegen. Ein Problem mit dem Ansatz der Active Directory-Benutzer und -Computer MMC ist, dass Sie nur Benutzer in einer einzigen Organisationseinheit auswählen können und nur ein gemeinsames Kennwort für ausgewählte Benutzer festgelegt werden kann. Falls Sie ein eindeutiges Kennwort für mehrere Benutzerkonten festlegen müssen, müssen Sie den PowerShell-Ansatz verwenden. PowerShell bietet eine bessere Kontrolle und hilft Ihnen, ein eindeutiges Kennwort für jeden Benutzer aus einer CSV-Datei festzulegen.
Kennwörter mit der Dsmod-Befehlszeile zurücksetzen
Das Dsmod-Befehlszeilentool wird schon seit geraumer Zeit verwendet. Dsmod steht für „Directory Service Modification“. Das Tool wurde entwickelt, als Microsoft dabei war, PowerShell-Cmdlets zu entwickeln, die mit den meisten Windows Server-Rollen und -Funktionen, einschließlich Active Directory, verwendet werden können. Obwohl Dsmod von Active Directory-Administratoren nicht mehr verwendet wird, weil PowerShell eine größere Flexibilität als andere alte Tools bietet, leistet Dsmod gute Arbeit, wenn es um die Änderung der Eigenschaften von Benutzerkonten einschließlich des Zurücksetzens eines Kennworts geht. Um das Kennwort eines Benutzerkontos mit Dsmod zurückzusetzen, führen Sie folgenden Befehl aus:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Wie Sie im obigen Befehl sehen können, kann der Kontext „Dsmod User“ verwendet werden, um das Kennwort eines Active Directory-Benutzerkontos zurückzusetzen. Das Problem bei Dsmod ist jedoch, dass Sie den Distinguished Name des Benutzerkontos angeben müssen, dessen Kennwort Sie zurücksetzen möchten. Mit anderen Worten, Dsmod akzeptiert nicht den SamAccountName eines Benutzerkontos.
Kennwörter mit PowerShell-Cmdlets zurücksetzen
Die bevorzugte Methode zum Zurücksetzen des Kennworts von einzelnen oder mehreren Benutzerkonten war schon immer PowerShell. Sie können das PowerShell-Cmdlet Set-ADAccountPassword verwenden, um Kennwortrücksetzungsvorgänge für einzelne oder mehrere Benutzer durchzuführen. Es ist wichtig zu beachten, dass das Cmdlet Set-ADAccountPassword den Parameter „-Identity“ bereitstellt, der neben dem Distinguished Name und der Benutzerobjekt-GUID auch den SamAccountName eines Benutzerkontos akzeptieren kann. Dies ist der größte Vorteil gegenüber dem Befehlszeilentool Dsmod. Um das Kennwort für ein einzelnes Benutzerkonto zurückzusetzen, führen Sie den folgenden PowerShell-Befehl aus:
Der obige Befehl setzt das Kennwort eines im Distinguished-Name-Format angegebenen Benutzerkontos zurück. Wenn Sie den SamAccountName des Benutzers im Cmdlet „Set-ADAccountPassword“ verwenden möchten, führen Sie den folgenden PowerShell-Befehl aus:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Während beide obigen PowerShell-Befehle nur für ein einzelnes Benutzerkonto verwendet werden können, können Sie mithilfe einer CSV-Datei, die eine Liste von Benutzerkonten enthält, deren Kennwort zurückgesetzt werden soll, und durch Hinzufügen einer ForEach-Schleife das Kennwort für mehr als ein Benutzerkonto zurücksetzen. Das folgende PowerShell-Skript setzt beispielsweise für jeden Benutzer ein in der CSV-Datei angegebenes eindeutiges Kennwort zurück.
Das obige Skript geht davon aus, dass eine CSV-Datei mit dem Namen „UserWithPass“ unter C:³ erstellt wurde, die SamAccountName und New Password der Benutzer enthält. Das Skript prüft jeden Benutzernamen und jedes Kennwort aus der CSV-Datei und setzt sie dann mit dem Cmdlet „Set-ADAccountPassword“ zurück.
Verwendung von Verwaltungstools von Drittanbietern
Es gibt Verwaltungstools von Drittanbietern, die ebenfalls Möglichkeiten zum Zurücksetzen von Active Directory-Kennwörtern bieten. Einige Tools können auch zum Zurücksetzen von Active Directory-Kennwörtern für mehrere Benutzer aus verschiedenen Organisationseinheiten verwendet werden.
Tipp: Das Cmdlet „Set-ADAccountPassword“ kann auch auf eine Produktions-Organisationseinheit abzielen, in der sich die Benutzer befinden, aber um sicherzustellen, dass für alle Benutzer ein eindeutiges Kennwort festgelegt wird, müssen Sie eine Logik in das Skript aufnehmen, die für jeden vom Skript verarbeiteten Benutzer ein eindeutiges Kennwort generieren kann.
Sie können zwar die MMC für Active Directory-Benutzer und -Computer verwenden, um Active Directory-Kennwörter zurückzusetzen, aber die PowerShell-Methode bietet mehr Flexibilität und hilft auch beim Zurücksetzen eines eindeutigen Kennworts für jeden in einer CSV-Datei angegebenen Benutzer.
Foto: