Il existe de nombreuses raisons pour lesquelles les administrateurs doivent réinitialiser les mots de passe Active Directory des comptes d’utilisateurs, et il existe plusieurs façons de le faire. Vous pouvez utiliser la MMC des utilisateurs et des ordinateurs Active Directory, l’outil de ligne de commande DSMOD, la programmation ADSI et les cmdlets PowerShell. Les outils de gestion Active Directory tiers proposent également des tâches de gestion Active Directory qui incluent la réinitialisation des mots de passe des utilisateurs. Vous pouvez effectuer une opération de réinitialisation de mot de passe pour un seul compte utilisateur en utilisant des outils intégrés et tiers, mais dans le cas où vous souhaitez réinitialiser le mot de passe de plusieurs comptes utilisateurs, vous devrez utiliser une approche de script ou utiliser un outil qui peut vous aider à sélectionner tous les utilisateurs puis à définir le mot de passe. Dans cet article, nous allons expliquer les différentes façons de réinitialiser les mots de passe des comptes utilisateurs.
Permissions pour réinitialiser les mots de passe Active Directory
Avant de pouvoir effectuer l’opération de réinitialisation du mot de passe, il est important de noter que vous devez avoir des permissions suffisantes dans Active Directory. Un compte utilisateur normal ne peut pas réinitialiser les mots de passe d’autres comptes utilisateurs. Au minimum, vous devez être membre du groupe de sécurité Opérateurs de comptes dans le domaine Active Directory.
Réinitialisation des mots de passe à l’aide de la MMC Utilisateurs et ordinateurs Active Directory
Si vous souhaitez réinitialiser le mot de passe d’un compte utilisateur à partir de la MMC Utilisateurs et ordinateurs Active Directory, suivez les étapes ci-dessous :
- Connectez-vous à un ordinateur à l’aide d’un compte utilisateur de domaine qui est membre du groupe de sécurité Opérateurs de comptes.
- Ouvrir Utilisateurs et ordinateurs Active Directory.
- Trouver le compte utilisateur dont vous voulez réinitialiser le mot de passe.
- Dans le volet de droite, cliquez sur le compte utilisateur puis sur l’action « Réinitialiser le mot de passe ».
- Vous devez taper et confirmer le mot de passe.
Dans le cas où vous voulez que l’utilisateur change le mot de passe lors de la prochaine connexion, vous devez sélectionner l’option « L’utilisateur doit changer le mot de passe à la prochaine connexion ».
Problème : Dans la MMC Utilisateurs et ordinateurs Active Directory, vous pouvez sélectionner plusieurs comptes d’utilisateurs, puis définir un mot de passe commun pour les utilisateurs sélectionnés. Un problème avec l’approche de la MMC Active Directory Users and Computers est que vous ne pouvez sélectionner que des utilisateurs dans une seule unité d’organisation et que seul un mot de passe commun peut être défini pour les utilisateurs sélectionnés. Si vous devez définir un mot de passe unique pour plusieurs comptes d’utilisateurs, vous devrez utiliser l’approche PowerShell. PowerShell fournit un meilleur contrôle et vous aide à définir un mot de passe unique pour chaque utilisateur à partir d’un fichier CSV.
Réinitialisation des mots de passe à l’aide de la ligne de commande Dsmod
L’outil de ligne de commande Dsmod est utilisé depuis un certain temps. Dsmod est l’abréviation de Directory Service Modification. Cet outil a été conçu lorsque Microsoft était en train de développer des cmdlets PowerShell à utiliser avec la plupart des rôles et fonctionnalités de Windows Server, y compris Active Directory. Bien que Dsmod ne soit plus utilisé par les administrateurs d’Active Directory parce que PowerShell offre une plus grande flexibilité par rapport à tous les autres anciens outils, Dsmod fait un assez bon travail lorsqu’il s’agit de modifier les propriétés des comptes utilisateurs, y compris la réinitialisation d’un mot de passe. Pour réinitialiser le mot de passe d’un compte utilisateur à l’aide de Dsmod, exécutez cette commande:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Comme vous pouvez le voir dans la commande ci-dessus, le contexte « Dsmod User » peut être utilisé pour réinitialiser le mot de passe d’un compte utilisateur Active Directory. Cependant, le problème avec Dsmod est que vous devez fournir le nom distingué du compte utilisateur dont vous voulez réinitialiser le mot de passe. En d’autres termes, Dsmod n’accepte pas SamAccountName d’un compte utilisateur.
Réinitialisation des mots de passe à l’aide des cmdlets PowerShell
La méthode préférée pour réinitialiser le mot de passe d’un ou de plusieurs comptes utilisateur a toujours été PowerShell. Vous pouvez utiliser la cmdlet PowerShell Set-ADAccountPassword pour effectuer des opérations de réinitialisation de mot de passe pour des utilisateurs uniques ou multiples. Il est important de noter que la cmdlet Set-ADAccountPassword fournit le paramètre « -Identity », qui peut également accepter SamAccountName d’un compte d’utilisateur en plus d’accepter le nom distingué et le GUID de l’objet utilisateur. C’est le principal avantage par rapport à l’outil en ligne de commande Dsmod. Pour réinitialiser le mot de passe d’un seul compte utilisateur, exécutez la commande PowerShell ci-dessous :
La commande ci-dessus réinitialise le mot de passe d’un compte utilisateur spécifié au format distinguished name. Si vous souhaitez utiliser SamAccountName de l’utilisateur dans le cmdlet Set-ADAccountPassword, utilisez la commande PowerShell ci-dessous:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Bien que les deux commandes PowerShell ci-dessus ne puissent être utilisées que pour un seul compte d’utilisateur, l’utilisation d’un fichier CSV qui contient une liste de comptes d’utilisateur dont vous souhaitez réinitialiser le mot de passe et l’ajout d’une boucle ForEach vous aideront à réinitialiser le mot de passe de plus d’un compte d’utilisateur. Par exemple, le script PowerShell ci-dessous réinitialise un mot de passe unique spécifié dans le fichier CSV pour chaque utilisateur.
Le script ci-dessus suppose qu’un fichier CSV du nom de « UserWithPass » est créé sous C:\Temp qui contient SamAccountName et le nouveau mot de passe des utilisateurs. Le script vérifie chaque nom d’utilisateur et mot de passe du fichier CSV, puis réinitialise à l’aide du cmdlet Set-ADAccountPassword.
Utilisation d’outils de gestion tiers
Il existe des outils de gestion tiers qui offrent également des moyens de réinitialiser les mots de passe Active Directory. Certains outils peuvent également être utilisés pour réinitialiser les mots de passe Active Directory pour plusieurs utilisateurs de différentes unités d’organisation.
Conseil : la cmdlet Set-ADAccountPassword peut également cibler une unité d’organisation de production où se trouvent les utilisateurs, mais pour s’assurer qu’un mot de passe unique est défini pour tous les utilisateurs, vous devrez inclure une logique dans le script qui peut générer un mot de passe unique pour chaque utilisateur traité par le script.
Bien que vous puissiez utiliser la MMC Utilisateurs et ordinateurs d’Active Directory pour réinitialiser les mots de passe d’Active Directory, l’utilisation de la méthode PowerShell offre une plus grande flexibilité et aide également à réinitialiser un mot de passe unique pour chaque utilisateur spécifié dans un fichier CSV.
Crédit photo :
.