Hay muchas razones por las que los administradores deben restablecer las contraseñas de Active Directory para las cuentas de usuario, y hay varias maneras de hacerlo. Puede utilizar la MMC de usuarios y equipos de Active Directory, la herramienta de línea de comandos DSMOD, la programación ADSI y los cmdlets de PowerShell. Las herramientas de gestión de Active Directory de terceros también ofrecen tareas de gestión de Active Directory que incluyen el restablecimiento de las contraseñas de los usuarios. Puede realizar la operación de restablecimiento de la contraseña para una sola cuenta de usuario utilizando herramientas integradas y de terceros, pero en caso de que desee restablecer la contraseña para varias cuentas de usuario, deberá utilizar un enfoque de secuencias de comandos o utilizar una herramienta que pueda ayudarle a seleccionar todos los usuarios y luego establecer la contraseña. En este artículo, explicaremos varias formas de restablecer las contraseñas de las cuentas de usuario.
Permisos para restablecer las contraseñas de Active Directory
Antes de que pueda realizar la operación de restablecimiento de la contraseña, es importante tener en cuenta que debe tener los permisos suficientes en Active Directory. Una cuenta de usuario normal no puede restablecer las contraseñas de otras cuentas de usuario. Como mínimo, debe ser miembro del grupo de seguridad Operadores de cuentas en el dominio de Active Directory.
Restablecimiento de contraseñas mediante la MMC de Usuarios y equipos de Active Directory
Si desea restablecer la contraseña de una cuenta de usuario desde la MMC de Usuarios y equipos de Active Directory, siga los pasos siguientes:
- Inicie sesión en un equipo utilizando una cuenta de usuario del dominio que sea miembro del grupo de seguridad Operadores de cuentas.
- Abra Usuarios y equipos de Active Directory.
- Busque la cuenta de usuario cuya contraseña desea restablecer.
- En el panel derecho, haga clic con el botón derecho en la cuenta de usuario y, a continuación, haga clic en la acción «Restablecer contraseña».
- Debe escribir y confirmar la contraseña.
En caso de que quiera que el usuario cambie la contraseña durante el siguiente inicio de sesión, debe seleccionar la opción «El usuario debe cambiar la contraseña en el siguiente inicio de sesión».
Problema: En la MMC de Usuarios y equipos de Active Directory, puede seleccionar varias cuentas de usuario y luego establecer una contraseña común para los usuarios seleccionados. Un problema con el enfoque de la MMC de Usuarios y Equipos de Active Directory es que sólo puede seleccionar usuarios en una sola unidad organizativa y sólo se puede establecer una contraseña común para los usuarios seleccionados. En caso de que necesite establecer una contraseña única para varias cuentas de usuario, deberá utilizar el enfoque de PowerShell. PowerShell proporciona un mejor control y le ayuda a establecer una contraseña única para cada usuario desde un archivo CSV.
Restablecimiento de contraseñas utilizando la línea de comandos Dsmod
La herramienta de línea de comandos Dsmod ha estado en uso durante bastante tiempo. Dsmod son las siglas de Directory Service Modification. La herramienta fue diseñada cuando Microsoft estaba en el proceso de desarrollo de cmdlets de PowerShell para ser utilizado con la mayoría de los roles y características de Windows Server, incluyendo Active Directory. Aunque Dsmod ya no es utilizado por los administradores de Active Directory porque PowerShell proporciona una mayor flexibilidad sobre cualquier otra herramienta antigua, Dsmod hace un trabajo bastante bueno cuando se trata de modificar las propiedades de las cuentas de usuario, incluyendo el restablecimiento de una contraseña. Para restablecer la contraseña de una cuenta de usuario utilizando Dsmod, ejecute este comando:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Como puede ver en el comando anterior, el contexto «Dsmod User» puede utilizarse para restablecer la contraseña de una cuenta de usuario de Active Directory. Sin embargo, el problema con Dsmod es que debe proporcionar el nombre distinguido de la cuenta de usuario cuya contraseña desea restablecer. En otras palabras, Dsmod no acepta SamAccountName de una cuenta de usuario.
Restablecimiento de contraseñas mediante cmdlets de PowerShell
El método preferido para restablecer la contraseña de una o varias cuentas de usuario siempre ha sido PowerShell. Puede utilizar el cmdlet de PowerShell Set-ADAccountPassword para realizar operaciones de restablecimiento de contraseñas para uno o varios usuarios. Es importante tener en cuenta que el cmdlet Set-ADAccountPassword proporciona el parámetro «-Identity», que también puede aceptar SamAccountName de una cuenta de usuario aparte de aceptar el nombre distinguido y el GUID del objeto de usuario. Esta es la mayor ventaja sobre la herramienta de línea de comandos Dsmod. Para restablecer la contraseña de una sola cuenta de usuario, ejecute el siguiente comando PowerShell:
El comando anterior restablece la contraseña de una cuenta de usuario especificada en el formato de nombre distinguido. Si desea utilizar SamAccountName del usuario en el cmdlet Set-ADAccountPassword, utilice el siguiente comando de PowerShell:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Aunque los dos comandos de PowerShell anteriores sólo pueden utilizarse para una única cuenta de usuario, el uso de un archivo CSV que contenga una lista de cuentas de usuario cuya contraseña desee restablecer y la adición de un bucle ForEach le ayudarán a restablecer la contraseña de más de una cuenta de usuario. Por ejemplo, la secuencia de comandos de PowerShell que aparece a continuación restablece una contraseña única especificada en el archivo CSV para cada usuario.
La secuencia de comandos anterior supone que se crea un archivo CSV con el nombre «UserWithPass» en C:\Temp que contiene SamAccountName y New Password de los usuarios. El script comprueba cada nombre de usuario y contraseña del archivo CSV y luego lo restablece utilizando el cmdlet Set-ADAccountPassword.
Usando herramientas de gestión de terceros
Hay herramientas de gestión de terceros que también ofrecen formas de restablecer las contraseñas de Active Directory. Algunas herramientas también se pueden utilizar para restablecer las contraseñas de Active Directory para varios usuarios de diferentes unidades organizativas.
Consejo: El cmdlet Set-ADAccountPassword también puede dirigirse a una unidad organizativa de producción en la que se encuentran los usuarios, pero para garantizar que se establece una contraseña única para todos los usuarios, será necesario incluir una lógica en el script que pueda generar una contraseña única para cada usuario que procese el script.
Aunque puede utilizar la MMC de usuarios y equipos de Active Directory para restablecer las contraseñas de Active Directory, el uso del método de PowerShell proporciona una mayor flexibilidad y también ayuda a restablecer una contraseña única para cada usuario especificado en un archivo CSV.
Crédito de la foto: