Er zijn veel redenen waarom beheerders Active Directory-wachtwoorden voor gebruikersaccounts moeten resetten, en er zijn verschillende manieren om dit te doen. U kunt de Active Directory Gebruikers en Computers MMC, het DSMOD-opdrachtregelprogramma, ADSI-programmering en PowerShell-cmdlets gebruiken. Active Directory beheertools van derden bieden ook Active Directory beheertaken die het resetten van wachtwoorden van gebruikers bevatten. U kunt wachtwoord reset operaties uitvoeren voor een enkele gebruikersaccount door gebruik te maken van ingebouwde en third-party tools, maar in het geval dat u het wachtwoord voor meerdere gebruikersaccounts wilt resetten, zult u een scripting aanpak moeten gebruiken of een tool moeten gebruiken die u kan helpen alle gebruikers te selecteren en vervolgens het wachtwoord in te stellen. In dit artikel zullen we verschillende manieren uitleggen om de wachtwoorden van gebruikersaccounts te resetten.
Permissies om Active Directory-wachtwoorden te resetten
Voordat u de bewerking voor het resetten van wachtwoorden kunt uitvoeren, is het belangrijk op te merken dat u voldoende machtigingen moet hebben in Active Directory. Een normale gebruikersaccount kan geen wachtwoorden van andere gebruikersaccounts resetten. U moet minimaal lid zijn van de beveiligingsgroep Account Operations in het Active Directory-domein.
Wachtwoorden opnieuw instellen met behulp van Active Directory Gebruikers en computers MMC
Als u het wachtwoord van een gebruikersaccount opnieuw wilt instellen met behulp van Active Directory Gebruikers en computers MMC, volgt u de onderstaande stappen:
- Log in op een computer met een domeingebruikersaccount die lid is van de beveiligingsgroep Accounts Operators.
- Open Active Directory Gebruikers en computers.
- Zoek de gebruikersaccount waarvan u het wachtwoord wilt resetten.
- In het rechterdeelvenster, klik met de rechtermuisknop op de gebruikersaccount en klik vervolgens op de actie “Wachtwoord resetten”.
- U moet het wachtwoord typen en bevestigen.
In het geval dat u wilt dat de gebruiker het wachtwoord bij de volgende aanmelding wijzigt, moet u de optie “User Must Change Password at Next Logon” selecteren.
Probleem: in Active Directory Users and Computers MMC, kunt u meerdere gebruikersaccounts selecteren en vervolgens een gemeenschappelijk wachtwoord instellen voor de geselecteerde gebruikers. Een probleem met de MMC-benadering van Active Directory Gebruikers en Computers is dat u alleen gebruikers in één organisatorische eenheid kunt selecteren en alleen een gemeenschappelijk wachtwoord kunt instellen voor de geselecteerde gebruikers. Als u een uniek wachtwoord moet instellen voor meerdere gebruikersaccounts, moet u de PowerShell-aanpak gebruiken. PowerShell biedt een betere controle en helpt u een uniek wachtwoord in te stellen voor elke gebruiker vanuit een CSV-bestand.
Wachtwoorden opnieuw instellen met behulp van Dsmod opdrachtregel
De Dsmod opdrachtregel tool is al geruime tijd in gebruik. Dsmod staat voor Directory Service Modification. De tool is ontworpen toen Microsoft bezig was met het ontwikkelen van PowerShell cmdlets om te gebruiken met de meeste Windows Server rollen en functies, waaronder Active Directory. Hoewel Dsmod niet meer wordt gebruikt door Active Directory beheerders omdat PowerShell meer flexibiliteit biedt dan andere oude tools, doet Dsmod aardig wat werk als het gaat om het wijzigen van eigenschappen van gebruikersaccounts, waaronder het resetten van een wachtwoord. Om het wachtwoord van een gebruikersaccount opnieuw in te stellen met Dsmod, voert u het volgende commando uit:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Zoals u in het bovenstaande commando kunt zien, kan de “Dsmod User”-context worden gebruikt om het wachtwoord van een Active Directory-gebruikersaccount opnieuw in te stellen. Het probleem met Dsmod is echter dat je de gedistingeerde naam moet opgeven van de gebruikersaccount waarvan je het wachtwoord wilt resetten. Met andere woorden, Dsmod accepteert geen SamAccountName van een gebruikersaccount.
Wachtwoorden resetten met PowerShell cmdlets
De voorkeursmethode om het wachtwoord van enkele of meerdere gebruikersaccounts te resetten, is altijd PowerShell geweest. U kunt het PowerShell-cmdlet Set-ADAccountPassword gebruiken om wachtwoordresetbewerkingen uit te voeren voor enkele of meerdere gebruikers. Het is belangrijk op te merken dat Set-ADAccountPassword cmdlet de “-Identity” parameter biedt, die ook SamAccountName van een gebruikersaccount kan accepteren, naast het accepteren van distinguished name en user object GUID. Dit is het grote voordeel ten opzichte van het Dsmod commando regel gereedschap. Voer het onderstaande PowerShell-commando uit om het wachtwoord voor een enkele gebruikersaccount opnieuw in te stellen:
Het bovenstaande commando stelt het wachtwoord opnieuw in van een gebruikersaccount dat is opgegeven in de notatie distinguished name. Als u SamAccountName van de gebruiker wilt gebruiken in het cmdlet Set-ADAccountPassword, gebruikt u het onderstaande PowerShell-commando:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Terwijl beide bovenstaande PowerShell-commando’s alleen kunnen worden gebruikt voor een enkele gebruikersaccount, kunt u met behulp van een CSV-bestand met een lijst van gebruikersaccounts waarvan u het wachtwoord opnieuw wilt instellen en een ForEach-lus toevoegen, het wachtwoord voor meer dan één gebruikersaccount opnieuw instellen. Het onderstaande PowerShell-script stelt bijvoorbeeld voor elke gebruiker een uniek wachtwoord opnieuw in dat is opgegeven in het CSV-bestand.
Het bovenstaande script gaat ervan uit dat een CSV-bestand met de naam “UserWithPass” is gemaakt onder C:\Temp dat SamAccountName en Nieuw wachtwoord van gebruikers bevat. Het script controleert elke gebruikersnaam en elk wachtwoord uit het CSV-bestand en reset vervolgens met het cmdlet Set-ADAccountPassword.
Met hulpprogramma’s voor beheer van derden
Er zijn hulpprogramma’s voor beheer van derden die ook manieren bieden om Active Directory wachtwoorden te resetten. Sommige tools kunnen ook worden gebruikt om Active Directory-wachtwoorden opnieuw in te stellen voor meerdere gebruikers uit verschillende organisatorische eenheden.
Tip: Set-ADAccountPassword cmdlet kan ook gericht zijn op een productie-organisatorische eenheid waar gebruikers zich bevinden, maar om ervoor te zorgen dat een uniek wachtwoord wordt ingesteld voor alle gebruikers, moet u een logica in het script opnemen die een uniek wachtwoord kan genereren voor elke gebruiker die door het script wordt verwerkt.
Hoewel u Active Directory Users and Computers MMC kunt gebruiken om Active Directory-wachtwoorden opnieuw in te stellen, biedt het gebruik van de PowerShell-methode meer flexibiliteit en helpt deze ook bij het opnieuw instellen van een uniek wachtwoord voor elke gebruiker die in een CSV-bestand is opgegeven.
Foto- credit: