Există multe motive pentru care administratorii trebuie să reseteze parolele Active Directory pentru conturile de utilizator și există mai multe modalități de a face acest lucru. Puteți utiliza Active Directory Users and Computers MMC, instrumentul de linie de comandă DSMOD, programarea ADSI și cmdlets PowerShell. Instrumentele terțe de gestionare Active Directory oferă, de asemenea, sarcini de gestionare Active Directory care includ resetarea parolelor utilizatorilor. Puteți efectua operațiunea de resetare a parolei pentru un singur cont de utilizator utilizând instrumente încorporate și de la terți, dar în cazul în care doriți să resetați parola pentru mai multe conturi de utilizator, va trebui să utilizați o abordare prin scripting sau să folosiți un instrument care vă poate ajuta să selectați toți utilizatorii și apoi să setați parola. În acest articol, vom explica diverse modalități de resetare a parolelor conturilor de utilizator.
Permisiuni pentru resetarea parolelor Active Directory
Înainte de a putea efectua operațiunea de resetare a parolei, este important să rețineți că trebuie să aveți suficiente permisiuni în Active Directory. Un cont de utilizator normal nu poate reseta parolele altor conturi de utilizator. Cel puțin, trebuie să fiți membru al grupului de securitate Account Operations în domeniul Active Directory.
Reinițializarea parolelor utilizând Active Directory Users and Computers MMC
Dacă doriți să resetați parola unui cont de utilizator din Active Directory Users and Computers MMC, urmați pașii de mai jos:
- Întrați pe un computer utilizând un cont de utilizator de domeniu care este membru al grupului de securitate Accounts Operators.
- Deschideți Active Directory Users and Computers.
- Căutați contul de utilizator a cărui parolă doriți să o resetați.
- În panoul din dreapta, faceți clic dreapta pe contul de utilizator și apoi faceți clic pe acțiunea „Reset Password”.
- Trebuie să introduceți și să confirmați parola.
În cazul în care doriți ca utilizatorul să schimbe parola la următoarea logare, trebuie să selectați opțiunea „User Must Change Password at Next Logon” (Utilizatorul trebuie să schimbe parola la următoarea logare).
Problemă: În Active Directory Users and Computers MMC, puteți selecta mai multe conturi de utilizator și apoi să setați o parolă comună pentru utilizatorii selectați. O problemă cu abordarea Active Directory Users and Computers MMC este că puteți selecta numai utilizatorii dintr-o singură unitate organizațională și numai o parolă comună poate fi setată pentru utilizatorii selectați. În cazul în care trebuie să setați o parolă unică pentru mai multe conturi de utilizator, va trebui să utilizați abordarea PowerShell. PowerShell oferă un control mai bun și vă ajută să setați o parolă unică pentru fiecare utilizator dintr-un fișier CSV.
Reinițializarea parolelor utilizând linia de comandă Dsmod
Strument de linie de comandă Dsmod este utilizat de ceva timp. Dsmod înseamnă Directory Service Modification (modificarea serviciului de directoare). Instrumentul a fost conceput atunci când Microsoft se afla în procesul de dezvoltare a cmdleturilor PowerShell pentru a fi utilizate cu majoritatea rolurilor și funcțiilor Windows Server, inclusiv Active Directory. Deși Dsmod nu mai este utilizat de administratorii Active Directory deoarece PowerShell oferă o mai mare flexibilitate față de orice alte instrumente vechi, Dsmod face o treabă destul de bună atunci când vine vorba de modificarea proprietăților conturilor de utilizator, inclusiv resetarea unei parole. Pentru a reseta parola unui cont de utilizator folosind Dsmod, executați această comandă:
DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes
După cum puteți vedea în comanda de mai sus, contextul „Dsmod User” poate fi folosit pentru a reseta parola unui cont de utilizator Active Directory. Cu toate acestea, problema cu Dsmod este că trebuie să furnizați numele distins al contului de utilizator a cărui parolă doriți să o resetați. Cu alte cuvinte, Dsmod nu acceptă SamAccountName al unui cont de utilizator.
Reinițializarea parolelor cu ajutorul cmdleturilor PowerShell
Metoda preferată pentru a reseta parola unui singur cont de utilizator sau a mai multor conturi de utilizator a fost întotdeauna PowerShell. Puteți utiliza cmdlet-ul PowerShell Set-ADAccountPassword pentru a efectua operațiuni de resetare a parolei pentru un singur utilizator sau pentru mai mulți utilizatori. Este important de reținut că cmdlet-ul Set-ADAccountPassword oferă parametrul „-Identity”, care poate accepta, de asemenea, SamAccountName al unui cont de utilizator, pe lângă faptul că acceptă numele distins și GUID-ul obiectului de utilizator. Acesta este avantajul major față de instrumentul de linie de comandă Dsmod. Pentru a reseta parola pentru un singur cont de utilizator, executați comanda PowerShell de mai jos:
Comanda de mai sus resetează parola unui cont de utilizator specificat în formatul distinguished name. Dacă doriți să utilizați SamAccountName al utilizatorului în cmdlet-ul Set-ADAccountPassword, utilizați comanda PowerShell de mai jos:
Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
În timp ce ambele comenzi PowerShell de mai sus pot fi utilizate numai pentru un singur cont de utilizator, utilizarea unui fișier CSV care conține o listă de conturi de utilizator a căror parolă doriți să o resetați și adăugarea unei bucle ForEach vă va ajuta să resetați parola pentru mai mult de un cont de utilizator. Scriptul verifică fiecare nume de utilizator și parolă din fișierul CSV și apoi resetează folosind cmdlet-ul Set-ADAccountPassword.
Utilizarea instrumentelor de gestionare de la terți
Există instrumente de gestionare de la terți care oferă, de asemenea, modalități de resetare a parolelor Active Directory. Unele instrumente pot fi, de asemenea, utilizate pentru a reseta parolele Active Directory pentru mai mulți utilizatori din diferite unități organizaționale.
Sugestie: cmdlet-ul Set-ADAccountPassword poate viza, de asemenea, o unitate organizațională de producție în care se află utilizatorii, dar pentru a vă asigura că o parolă unică este setată pentru toți utilizatorii, va trebui să includeți o logică în script care poate genera o parolă unică pentru fiecare utilizator care este procesat de script.
În timp ce puteți utiliza Active Directory Users and Computers MMC pentru a reseta parolele Active Directory, utilizarea metodei PowerShell oferă o mai mare flexibilitate și ajută, de asemenea, la resetarea unei parole unice pentru fiecare utilizator specificat într-un fișier CSV.
Credit foto:
.