Az adminoknak számos okból kell visszaállítaniuk a felhasználói fiókok Active Directory-jelszavait, és ezt többféleképpen is megtehetik. Használhatja az Active Directory-felhasználók és számítógépek MMC-t, a DSMOD parancssori eszközt, az ADSI programozást és a PowerShell-cmdleteket. Harmadik féltől származó Active Directory-kezelő eszközök is kínálnak olyan Active Directory-kezelési feladatokat, amelyek magukban foglalják a felhasználói jelszavak visszaállítását. A jelszó-visszaállítási műveletet egyetlen felhasználói fiókhoz végezheti el a beépített és a harmadik féltől származó eszközök segítségével, de abban az esetben, ha több felhasználói fiók jelszavát szeretné visszaállítani, akkor szkriptelési megközelítést kell alkalmaznia, vagy olyan eszközt kell használnia, amely segít az összes felhasználó kiválasztásában, majd a jelszó beállításában. Ebben a cikkben a felhasználói fiókok jelszavainak visszaállításának különböző módjait ismertetjük.
Az Active Directory jelszavainak visszaállításához szükséges jogosultságok
A jelszó-visszaállítási művelet elvégzése előtt fontos, hogy megfelelő jogosultságokkal kell rendelkeznie az Active Directoryban. Egy normál felhasználói fiók nem tudja visszaállítani más felhasználói fiókok jelszavait. Legalább a Fiókkezelők biztonsági csoport tagjának kell lennie az Active Directory tartományban.
Jelszavak visszaállítása az Active Directory felhasználói és számítógépek MMC használatával
Ha egy felhasználói fiók jelszavát az Active Directory felhasználói és számítógépek MMC segítségével kívánja visszaállítani, kövesse az alábbi lépéseket:
- Lépjen be egy számítógépre egy olyan tartományi felhasználói fiókkal, amely tagja a Fiókkezelők biztonsági csoportnak.
- Nyissa meg az Active Directory felhasználói és számítógépek.
- Keresd meg azt a felhasználói fiókot, amelynek jelszavát vissza szeretnéd állítani.
- A jobb oldali ablaktáblában kattints a jobb gombbal a felhasználói fiókra, majd kattints a “Jelszó visszaállítása” műveletre.
- A jelszót be kell írnod és meg kell erősítened.
Ha azt szeretné, hogy a felhasználónak a következő bejelentkezéskor meg kell változtatnia a jelszót, akkor a “Felhasználónak a következő bejelentkezéskor meg kell változtatnia a jelszót” opciót kell kiválasztania.
Probléma: Az Active Directory felhasználók és számítógépek MMC-ben több felhasználói fiókot is kijelölhet, majd közös jelszót állíthat be a kiválasztott felhasználók számára. Az Active Directory felhasználók és számítógépek MMC megközelítéssel az a probléma, hogy csak egyetlen szervezeti egységen belüli felhasználókat lehet kiválasztani, és csak közös jelszót lehet beállítani a kiválasztott felhasználókhoz. Abban az esetben, ha több felhasználói fiókhoz kell egyedi jelszót beállítani, akkor a PowerShell megközelítést kell használni. A PowerShell jobb ellenőrzést biztosít, és segít egyedi jelszót beállítani minden egyes felhasználóhoz egy CSV-fájlból.
Jelszavak visszaállítása a Dsmod parancssor segítségével
A Dsmod parancssori eszköz már jó ideje használatban van. A Dsmod a Directory Service Modification rövidítése. Az eszközt akkor tervezték, amikor a Microsoft a Windows Server legtöbb szerepköréhez és funkciójához, köztük az Active Directoryhoz használható PowerShell cmdleteket fejlesztett ki. Bár a Dsmod-ot már nem használják az Active Directory rendszergazdák, mivel a PowerShell nagyobb rugalmasságot biztosít minden más régi eszközzel szemben, a Dsmod elég szép munkát végez, amikor a felhasználói fiókok tulajdonságainak módosítására kerül sor, beleértve a jelszó visszaállítását is. Egy felhasználói fiók jelszavának visszaállításához a Dsmod segítségével hajtsa végre ezt a parancsot:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Amint a fenti parancsban látható, a “Dsmod User” kontextus használható egy Active Directory felhasználói fiók jelszavának visszaállítására. A Dsmod paranccsal azonban az a probléma, hogy meg kell adnia annak a felhasználói fióknak a megkülönböztető nevét, amelynek jelszavát vissza akarja állítani. Más szóval a Dsmod nem fogadja el a felhasználói fiók SamAccountName-jét.
Jelszavak visszaállítása PowerShell cmdletekkel
A PowerShell mindig is a PowerShell volt a legkedveltebb módszer egyetlen vagy több felhasználói fiók jelszavának visszaállítására. A Set-ADAccountPassword PowerShell cmdlet segítségével végezhet jelszó-visszaállítási műveleteket egyetlen vagy több felhasználóhoz. Fontos megjegyezni, hogy a Set-ADAccountPassword cmdlet biztosítja a “-Identity” paramétert, amely a megkülönböztetett név és a felhasználói objektum GUID-jének elfogadása mellett a felhasználói fiók SamAccountName-jét is elfogadja. Ez a fő előnye a Dsmod parancssori eszközzel szemben. Egyetlen felhasználói fiók jelszavának visszaállításához hajtsa végre az alábbi PowerShell parancsot:
A fenti parancs visszaállítja a megkülönböztetett név formátumban megadott felhasználói fiók jelszavát. Ha a Set-ADAccountPassword cmdletben a felhasználó SamAccountName-jét szeretné használni, használja az alábbi PowerShell parancsot:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Míg mindkét fenti PowerShell parancs csak egyetlen felhasználói fiókhoz használható, egy CSV-fájl használatával, amely tartalmazza azon felhasználói fiókok listáját, amelyek jelszavát vissza szeretné állítani, és egy ForEach ciklus hozzáadásával több felhasználói fiók jelszavát is visszaállíthatja. Az alábbi PowerShell szkript például minden egyes felhasználóhoz visszaállítja a CSV-fájlban megadott egyedi jelszót.
A fenti szkript feltételezi, hogy a C:\Temp alatt létrejött egy “UserWithPass” nevű CSV-fájl, amely tartalmazza a felhasználók SamAccountName és Új jelszavát. A szkript ellenőrzi az egyes felhasználóneveket és jelszavakat a CSV-fájlból, majd a Set-ADAccountPassword cmdlet segítségével visszaállítja azokat.
Harmadik féltől származó kezelőeszközök használata
Léteznek harmadik féltől származó kezelőeszközök, amelyek szintén módot kínálnak az Active Directory jelszavak visszaállítására. Néhány eszközzel több, különböző szervezeti egységből származó több felhasználó Active Directory-jelszava is visszaállítható.
Tipp: A Set-ADAccountPassword cmdlet célba veheti azt a termelési szervezeti egységet is, ahol a felhasználók találhatók, de ahhoz, hogy minden felhasználó számára egyedi jelszó kerüljön beállításra, olyan logikát kell beépíteni a szkriptbe, amely képes egyedi jelszót generálni minden egyes, a szkript által feldolgozott felhasználó számára.
Míg az Active Directory-felhasználók és számítógépek MMC segítségével visszaállíthatja az Active Directory-jelszavakat, a PowerShell-módszer használata nagyobb rugalmasságot biztosít, és segít a CSV-fájlban megadott minden egyes felhasználó egyedi jelszavának visszaállításában is.
Fotó hitel: