Existem várias razões pelas quais os administradores devem redefinir as senhas do Active Directory para contas de usuários, e existem várias maneiras de fazer isso. Você pode usar Active Directory Users and Computers MMC, ferramenta de linha de comando DSMOD, programação ADSI, e PowerShell cmdlets. Ferramentas de gerenciamento do Active Directory de terceiros também oferecem tarefas de gerenciamento do Active Directory que incluem redefinir as senhas dos usuários. Você pode realizar a operação de redefinição de senha para uma única conta de usuário usando ferramentas internas e de terceiros, mas caso deseje redefinir a senha para várias contas de usuário, será necessário usar uma abordagem de script ou usar uma ferramenta que possa ajudá-lo a selecionar todos os usuários e, em seguida, definir a senha. Neste artigo, vamos explicar várias maneiras de redefinir senhas de contas de usuários.
Permissões para redefinir senhas do Active Directory
Antes de realizar a operação de redefinição de senha, é importante notar que você deve ter permissões suficientes no Active Directory. Uma conta de usuário normal não pode redefinir as senhas de outras contas de usuário. No mínimo, você deve ser um membro do grupo de segurança Account Operations no domínio Active Directory.
Rescrever senhas usando o Active Directory Users and Computers MMC
Se você deseja redefinir a senha de uma conta de usuário do Active Directory Users and Computers MMC, siga os passos abaixo:
- Log on to a computer using a domain user account who is a member of the Accounts Operators security group.
- Open Active Directory Users and Computers.
- Localize a conta de usuário cuja senha você deseja redefinir.
- No painel direito, clique com o botão direito do mouse sobre a conta de usuário e depois clique na ação “Reset Password”.
- Você precisa digitar e confirmar a senha.
>
>
>
No caso de querer que o usuário altere a senha durante o próximo logon, você deve selecionar a opção “User Must Change Password at Next Logon”.
Problem: No Active Directory Users and Computers MMC, você pode selecionar várias contas de usuário e depois definir uma senha comum para os usuários selecionados. Um problema com a abordagem Active Directory Users and Computers MMC é que você só pode selecionar usuários em uma única unidade organizacional e apenas uma senha comum pode ser definida para os usuários selecionados. Caso precise de definir uma palavra-passe única para várias contas de utilizador, ser-lhe-á pedido que utilize a abordagem PowerShell. PowerShell fornece um melhor controle e ajuda a definir uma senha única para cada usuário a partir de um arquivo CSV.
Refinindo senhas usando a linha de comando Dsmod
A ferramenta de linha de comando Dsmod já está em uso há algum tempo. Dsmod significa Directory Service Modification (Modificação de Serviço de Diretório). A ferramenta foi projetada quando a Microsoft estava no processo de desenvolvimento do PowerShell cmdlets para ser usado com a maioria das funções e recursos do Windows Server, incluindo o Active Directory. Embora o Dsmod não seja mais usado pelos administradores do Active Directory porque o PowerShell fornece maior flexibilidade sobre quaisquer outras ferramentas antigas, o Dsmod faz um bom trabalho quando se trata de modificar as propriedades das contas de usuário, incluindo redefinir uma senha. Para redefinir a senha de uma conta de usuário usando Dsmod, execute este comando:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD YesDSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
Como você pode ver no comando acima, o contexto “Dsmod User” pode ser usado para redefinir a senha de uma conta de usuário do Active Directory. No entanto, o problema com Dsmod é que você deve fornecer o nome distinto da conta de usuário cuja senha você deseja redefinir. Em outras palavras, Dsmod não aceita SamAccountName de uma conta de usuário.
Refinindo senhas usando PowerShell cmdlets
O método preferido para redefinir a senha de contas de um ou mais usuários sempre foi PowerShell. Você pode usar o Set-ADAccountPassword PowerShell cmdlet para realizar operações de redefinição de senha para um ou vários usuários. É importante notar que Set-ADAccountPassword cmdlet fornece o parâmetro “-Identity”, que também pode aceitar SamAccountName de uma conta de usuário, além de aceitar o nome distinto e o objeto de usuário GUID. Esta é a maior vantagem sobre a ferramenta de linha de comando do Dsmod. Para redefinir a senha de uma única conta de usuário, execute o comando PowerShell abaixo:
O comando acima redefine a senha de uma conta de usuário especificada no formato de nome distinto. Se desejar usar SamAccountName do utilizador no comando Set-ADAccountPassword cmdlet, use o comando PowerShell abaixo:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Embora ambos os comandos PowerShell acima só possam ser usados para uma única conta de utilizador, usando um ficheiro CSV que contém uma lista de contas de utilizador cuja palavra-passe quer redefinir e adicionar um laço ForEach irá ajudá-lo a redefinir a palavra-passe para mais do que uma conta de utilizador. Por exemplo, o script PowerShell abaixo redefine uma senha única especificada no arquivo CSV para cada usuário.
O script acima assume que um arquivo CSV com o nome “UserWithPass” é criado em C:\Temp que contém SamAccountName e Nova Senha de usuários. O script verifica cada nome de usuário e senha do arquivo CSV e então reinicia usando o arquivo Set-ADAccountPassword cmdlet.
Usando ferramentas de gerenciamento de terceiros
Existem ferramentas de gerenciamento de terceiros que também oferecem maneiras de redefinir senhas do Active Directory. Algumas ferramentas também podem ser utilizadas para redefinir senhas do Active Directory para vários usuários de diferentes unidades organizacionais.
Tip: Set-ADAccountPassword cmdlet também pode ter como alvo uma unidade organizacional de produção onde os usuários estão localizados, mas para garantir que uma senha exclusiva seja definida para todos os usuários, será necessário incluir uma lógica no script que possa gerar uma senha exclusiva para cada usuário sendo processado pelo script.
Embora você possa usar o Active Directory Users and Computers MMC para redefinir senhas do Active Directory, usar o método PowerShell proporciona maior flexibilidade e também ajuda a redefinir uma senha única para cada usuário especificado em um arquivo CSV.
Foto crédito: