Ci sono molte ragioni per cui gli amministratori devono resettare le password di Active Directory per gli account utente, e ci sono diversi modi per farlo. È possibile utilizzare Active Directory Users and Computers MMC, lo strumento a riga di comando DSMOD, la programmazione ADSI e le cmdlets PowerShell. Gli strumenti di gestione di Active Directory di terze parti offrono anche attività di gestione di Active Directory che includono la reimpostazione delle password degli utenti. È possibile eseguire l’operazione di reimpostazione della password per un singolo account utente utilizzando strumenti integrati e di terze parti, ma nel caso in cui si desideri reimpostare la password per più account utente, sarà necessario utilizzare un approccio di scripting o utilizzare uno strumento che può aiutare a selezionare tutti gli utenti e quindi impostare la password. In questo articolo, spiegheremo vari modi per resettare le password degli account utente.
Permessi per resettare le password di Active Directory
Prima di poter eseguire l’operazione di reset della password, è importante notare che è necessario avere sufficienti permessi in Active Directory. Un account utente normale non può resettare le password di altri account utente. Come minimo, devi essere un membro del gruppo di sicurezza Account Operations nel dominio Active Directory.
Resettare le password usando Active Directory Users and Computers MMC
Se desideri resettare la password di un account utente da Active Directory Users and Computers MMC, segui i passi seguenti:
- Accedi a un computer usando un account utente di dominio che è un membro del gruppo di sicurezza Accounts Operators.
- Apri Active Directory Users and Computers.
- Trova l’account utente di cui vuoi reimpostare la password.
- Nel pannello di destra, fai clic destro sull’account utente e poi clicca sull’azione “Reimposta la password”.
- Devi digitare e confermare la password.
Nel caso in cui vuoi che l’utente cambi la password durante il prossimo accesso, devi selezionare l’opzione “User Must Change Password at Next Logon”.
Problema: In Active Directory Users and Computers MMC, puoi selezionare più account utente e quindi impostare una password comune per gli utenti selezionati. Un problema con l’approccio di Active Directory Users and Computers MMC è che puoi solo selezionare gli utenti in una singola unità organizzativa e solo una password comune può essere impostata per gli utenti selezionati. Nel caso tu abbia bisogno di impostare una password unica per più account utente, dovrai usare l’approccio PowerShell. PowerShell fornisce un controllo migliore e ti aiuta a impostare una password unica per ogni utente da un file CSV.
Resettare le password usando la linea di comando Dsmod
Lo strumento della linea di comando Dsmod è in uso da tempo. Dsmod sta per Directory Service Modification. Lo strumento è stato progettato quando Microsoft era in procinto di sviluppare cmdlets PowerShell da utilizzare con la maggior parte dei ruoli e delle caratteristiche di Windows Server, tra cui Active Directory. Anche se Dsmod non è più utilizzato dagli amministratori di Active Directory perché PowerShell fornisce una maggiore flessibilità rispetto a qualsiasi altro vecchio strumento, Dsmod fa un bel lavoro quando si tratta di modificare le proprietà degli account utente, compresa la reimpostazione della password. Per reimpostare la password di un account utente utilizzando Dsmod, eseguire questo comando:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Come si può vedere nel comando sopra, il contesto “Dsmod User” può essere utilizzato per reimpostare la password di un account utente Active Directory. Tuttavia, il problema con Dsmod è che è necessario fornire il nome distinto dell’account utente di cui si vuole resettare la password. In altre parole, Dsmod non accetta SamAccountName di un account utente.
Resettare le password usando cmdlets PowerShell
Il metodo preferito per resettare la password di account utente singoli o multipli è sempre stato PowerShell. Puoi usare il cmdlet Set-ADAccountPassword di PowerShell per eseguire operazioni di reset della password per utenti singoli o multipli. È importante notare che Set-ADAccountPassword cmdlet fornisce il parametro “-Identity”, che può anche accettare SamAccountName di un account utente oltre ad accettare nome distinto e GUID dell’oggetto utente. Questo è il vantaggio principale rispetto allo strumento a riga di comando Dsmod. Per reimpostare la password di un singolo account utente, esegui il comando PowerShell qui sotto:
Il comando di cui sopra reimposta la password di un account utente specificato nel formato distinguished name. Se si desidera utilizzare SamAccountName dell’utente nella cmdlet Set-ADAccountPassword, utilizzare il comando PowerShell di seguito:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Mentre entrambi i comandi PowerShell di cui sopra possono essere utilizzati solo per un singolo account utente, utilizzando un file CSV che contiene un elenco di account utente la cui password si desidera reimpostare e aggiungendo un ciclo ForEach vi aiuterà a reimpostare la password per più di un account utente. Per esempio, lo script PowerShell qui sotto resetta una password unica specificata nel file CSV per ogni utente.
Lo script qui sopra presuppone che un file CSV dal nome “UserWithPass” sia creato sotto C:\Temp che contiene SamAccountName e New Password degli utenti. Lo script controlla ogni nome utente e password dal file CSV e poi li resetta usando il cmdlet Set-ADAccountPassword.
Utilizzando strumenti di gestione di terzi
Ci sono strumenti di gestione di terzi che offrono anche modi per resettare le password di Active Directory. Alcuni strumenti possono anche essere utilizzati per reimpostare le password di Active Directory per più utenti da diverse unità organizzative.
Suggerimento: la cmdlet Set-ADAccountPassword può anche indirizzare un’unità organizzativa di produzione in cui si trovano gli utenti, ma per garantire l’impostazione di una password unica per tutti gli utenti, sarà necessario includere una logica nello script che possa generare una password unica per ogni utente elaborato dallo script.
Sebbene sia possibile utilizzare Active Directory Users and Computers MMC per reimpostare le password di Active Directory, l’utilizzo del metodo PowerShell fornisce una maggiore flessibilità e aiuta anche a reimpostare una password unica per ogni utente specificato in un file CSV.
Credito foto: