Jest wiele powodów, dla których administratorzy muszą resetować hasła Active Directory dla kont użytkowników, i jest kilka sposobów, aby to zrobić. Można użyć MMC Active Directory Users and Computers, narzędzia wiersza poleceń DSMOD, programowania ADSI oraz cmdletów PowerShell. Zewnętrzne narzędzia do zarządzania Active Directory również oferują zadania zarządzania Active Directory, które obejmują resetowanie haseł użytkowników. Możesz wykonać operację resetowania hasła dla pojedynczego konta użytkownika za pomocą wbudowanych i zewnętrznych narzędzi, ale w przypadku, gdy chcesz zresetować hasło dla wielu kont użytkowników, będziesz musiał użyć podejścia skryptowego lub użyć narzędzia, które pomoże Ci wybrać wszystkich użytkowników, a następnie ustawić hasło. W tym artykule, wyjaśnimy różne sposoby resetowania haseł kont użytkowników.
Uprawnienia do resetowania haseł Active Directory
Przed wykonaniem operacji resetowania hasła, ważne jest, aby pamiętać, że musisz mieć wystarczające uprawnienia w Active Directory. Zwykłe konto użytkownika nie może resetować haseł innych kont użytkowników. Co najmniej musisz być członkiem grupy zabezpieczeń Accounts Operations w domenie Active Directory.
Resetowanie haseł za pomocą programu Active Directory Users and Computers MMC
Jeśli chcesz zresetować hasło konta użytkownika za pomocą programu Active Directory Users and Computers MMC, wykonaj następujące czynności:
- Zaloguj się na komputer za pomocą konta użytkownika domeny, który jest członkiem grupy zabezpieczeń Accounts Operators.
- Otwórz program Active Directory Users and Computers.
- Znajdź konto użytkownika, którego hasło chcesz zresetować.
- W prawym okienku kliknij prawym przyciskiem myszy konto użytkownika, a następnie kliknij akcję „Resetuj hasło”.
- Trzeba wpisać i potwierdzić hasło.
W przypadku gdy chcesz, aby użytkownik zmienił hasło podczas następnego logowania, musisz wybrać opcję „User Must Change Password at Next Logon”.
Problem: W programie Active Directory Users and Computers MMC można wybrać wiele kont użytkowników, a następnie ustawić wspólne hasło dla wybranych użytkowników. Jednym z problemów podejścia MMC Active Directory Users and Computers jest to, że można wybrać tylko użytkowników w jednej jednostce organizacyjnej i można ustawić tylko wspólne hasło dla wybranych użytkowników. W przypadku, gdy trzeba ustawić unikalne hasło dla wielu kont użytkowników, należy użyć podejścia PowerShell. PowerShell zapewnia lepszą kontrolę i pomaga ustawić unikalne hasło dla każdego użytkownika z pliku CSV.
Resetowanie haseł przy użyciu wiersza poleceń Dsmod
Narzędzie wiersza poleceń Dsmod jest w użyciu od dłuższego czasu. Dsmod to skrót od Directory Service Modification. Narzędzie to zostało zaprojektowane, gdy Microsoft był w trakcie opracowywania cmdletów PowerShell, które miały być używane z większością ról i funkcji Windows Server, w tym Active Directory. Chociaż Dsmod nie jest już używany przez administratorów Active Directory, ponieważ PowerShell zapewnia większą elastyczność niż inne stare narzędzia, Dsmod wykonuje całkiem niezłą robotę, jeśli chodzi o modyfikowanie właściwości kont użytkowników, w tym resetowanie hasła. Aby zresetować hasło konta użytkownika za pomocą Dsmod, wykonaj następujące polecenie:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Jak widać w powyższym poleceniu, kontekst „Dsmod User” może być użyty do zresetowania hasła konta użytkownika Active Directory. Jednakże, problem z Dsmod polega na tym, że musisz podać nazwę wyróżnioną konta użytkownika, którego hasło chcesz zresetować. Innymi słowy, Dsmod nie akceptuje SamAccountName konta użytkownika.
Resetowanie haseł za pomocą cmdletów PowerShell
Preferowaną metodą resetowania hasła pojedynczego lub wielu kont użytkowników zawsze był PowerShell. Możesz użyć cmdleta Set-ADAccountPassword PowerShell, aby wykonać operacje resetowania hasła dla pojedynczego lub wielu użytkowników. Ważne jest, aby zauważyć, że cmdlet Set-ADAccountPassword posiada parametr „-Identity”, który może również zaakceptować SamAccountName konta użytkownika, oprócz akceptacji nazwy wyróżnionej i GUID obiektu użytkownika. Jest to główna zaleta w stosunku do narzędzia wiersza poleceń Dsmod. Aby zresetować hasło dla pojedynczego konta użytkownika, wykonaj poniższe polecenie PowerShell:
Powyższe polecenie resetuje hasło konta użytkownika określonego w formacie distinguished name. Jeśli chcesz użyć SamAccountName użytkownika w cmdlet Set-ADAccountPassword, użyj poniższego polecenia PowerShell:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Pomimo, że oba powyższe polecenia PowerShell mogą być użyte tylko dla pojedynczego konta użytkownika, użycie pliku CSV zawierającego listę kont użytkowników, których hasło chcesz zresetować i dodanie pętli ForEach pomoże Ci zresetować hasło dla więcej niż jednego konta użytkownika. Na przykład, poniższy skrypt PowerShell resetuje unikalne hasło określone w pliku CSV dla każdego użytkownika.
Powyższy skrypt zakłada, że plik CSV o nazwie „UserWithPass” jest utworzony w C:Temp, który zawiera SamAccountName i New Password użytkowników. Skrypt sprawdza każdą nazwę użytkownika i hasło z pliku CSV, a następnie resetuje je za pomocą cmdletu Set-ADAccountPassword.
Używanie narzędzi do zarządzania innych firm
Istnieją narzędzia do zarządzania innych firm, które również oferują sposoby resetowania haseł Active Directory. Niektóre narzędzia mogą być również używane do resetowania haseł Active Directory dla wielu użytkowników z różnych jednostek organizacyjnych.
Porada: cmdlet Set-ADAccountPassword może być również skierowany na produkcyjną jednostkę organizacyjną, w której znajdują się użytkownicy, ale aby zapewnić ustawienie unikatowego hasła dla wszystkich użytkowników, należy uwzględnić w skrypcie logikę, która może wygenerować unikatowe hasło dla każdego użytkownika przetwarzanego przez skrypt.
Mimo że można użyć Active Directory Users and Computers MMC do resetowania haseł Active Directory, użycie metody PowerShell zapewnia większą elastyczność, a także pomaga w resetowaniu unikalnego hasła dla każdego użytkownika określonego w pliku CSV.
Foto credit:
.