Нужно сбросить пароли пользователей Active Directory? Вот несколько способов сделать это

Опубликовано: 16 Марта, 2023
Нужно сбросить пароли пользователей Active Directory? Вот несколько способов сделать это

Существует множество причин, по которым администраторы должны сбрасывать пароли Active Directory для учетных записей пользователей, и есть несколько способов сделать это. Вы можете использовать Active Directory Users and Computers MMC, инструмент командной строки DSMOD, программирование ADSI и командлеты PowerShell. Сторонние инструменты управления Active Directory также предлагают задачи управления Active Directory, включая сброс паролей пользователей. Вы можете выполнить операцию сброса пароля для одной учетной записи пользователя с помощью встроенных и сторонних инструментов, но если вы хотите сбросить пароль для нескольких учетных записей пользователей, вам потребуется использовать сценарий или инструмент, который может помочь вам выбрать всех пользователей, а затем установить пароль. В этой статье мы объясним различные способы сброса паролей учетных записей пользователей.

Разрешения на сброс паролей Active Directory

Прежде чем вы сможете выполнить операцию сброса пароля, важно отметить, что у вас должны быть достаточные разрешения в Active Directory. Обычная учетная запись пользователя не может сбрасывать пароли других учетных записей пользователей. Как минимум, вы должны быть членом группы безопасности «Операции с учетными записями» в домене Active Directory.

Сброс паролей с помощью Active Directory Users and Computers MMC

Если вы хотите сбросить пароль учетной записи пользователя из Active Directory Users and Computers MMC, выполните следующие действия:

  • Войдите на компьютер, используя учетную запись пользователя домена, который является членом группы безопасности «Операторы учетных записей».
  • Откройте Пользователи и компьютеры Active Directory.
  • Найдите учетную запись пользователя, пароль которой вы хотите сбросить.
  • На правой панели щелкните правой кнопкой мыши учетную запись пользователя и выберите действие «Сбросить пароль».
  • Вам необходимо ввести и подтвердить пароль.

Если вы хотите, чтобы пользователь изменил пароль при следующем входе в систему, вы должны выбрать опцию «Пользователь должен изменить пароль при следующем входе в систему».

Проблема. В MMC «Пользователи и компьютеры Active Directory» можно выбрать несколько учетных записей пользователей, а затем установить общий пароль для выбранных пользователей. Одна проблема с подходом MMC «Пользователи и компьютеры Active Directory» заключается в том, что вы можете выбирать пользователей только в одном организационном подразделении, и для выбранных пользователей можно установить только общий пароль. Если вам нужно установить уникальный пароль для нескольких учетных записей пользователей, вам потребуется использовать подход PowerShell. PowerShell обеспечивает лучший контроль и помогает установить уникальный пароль для каждого пользователя из CSV-файла.

Сброс паролей с помощью командной строки Dsmod

Инструмент командной строки Dsmod используется уже довольно давно. Dsmod означает модификацию службы каталогов. Этот инструмент был разработан, когда Microsoft находилась в процессе разработки командлетов PowerShell для использования с большинством ролей и функций Windows Server, включая Active Directory. Хотя Dsmod больше не используется администраторами Active Directory, поскольку PowerShell обеспечивает большую гибкость по сравнению с любыми другими старыми инструментами, Dsmod отлично справляется с изменением свойств учетных записей пользователей, включая сброс пароля. Чтобы сбросить пароль учетной записи пользователя с помощью Dsmod, выполните эту команду:

DSMOD User <DistinguishedName Of The User> -PWD <NewPassword> -MustChPWD Yes

Как видно из приведенной выше команды, контекст «Dsmod User» можно использовать для сброса пароля учетной записи пользователя Active Directory. Однако проблема с Dsmod заключается в том, что вы должны указать различающееся имя учетной записи пользователя, пароль которой вы хотите сбросить. Другими словами, Dsmod не принимает SamAccountName учетной записи пользователя.

Сброс паролей с помощью командлетов PowerShell

Предпочтительным методом сброса пароля одной или нескольких учетных записей пользователей всегда был PowerShell. Командлет PowerShell Set-ADAccountPassword можно использовать для выполнения операций сброса пароля для одного или нескольких пользователей. Важно отметить, что командлет Set-ADAccountPassword предоставляет параметр «-Identity», который также может принимать SamAccountName учетной записи пользователя, помимо принятия отличительного имени и GUID объекта пользователя. Это главное преимущество перед инструментом командной строки Dsmod. Чтобы сбросить пароль для одной учетной записи пользователя, выполните команду PowerShell ниже:

Set-ADAccountPassword –Identity “CN=JohnThomas,OU=Production Users,DC=TechGenix,DC=Com” –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Приведенная выше команда сбрасывает пароль учетной записи пользователя, указанной в формате отличительного имени. Если вы хотите использовать SamAccountName пользователя в командлете Set-ADAccountPassword, используйте приведенную ниже команду PowerShell:

Set-ADAccountPassword –Identity JohnThomas –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Хотя обе приведенные выше команды PowerShell можно использовать только для одной учетной записи пользователя, использование CSV-файла, содержащего список учетных записей пользователей, пароль которых вы хотите сбросить, и добавление цикла ForEach поможет вам сбросить пароль для более чем одной учетной записи пользователя. Например, приведенный ниже сценарий PowerShell сбрасывает уникальный пароль, указанный в CSV-файле, для каждого пользователя.

$UserFile = "C:TempUserWithPass.CSV"
Foreach ($AllItems в $UserFile)
{
$SamAccountName = $AllItems.SamAccountName
$ThisPassword = $AllItems.Password
Set-ADAccountPassword –Identity $SamAccountName –Reset –NewPassword (ConvertTo-SecureString -AsPlainText «$ThisPassword» -Force)
}

Приведенный выше сценарий предполагает, что файл CSV с именем «UserWithPass» создается в каталоге C:Temp, который содержит имя SamAccountName и новый пароль пользователей. Сценарий проверяет каждое имя пользователя и пароль из CSV-файла, а затем сбрасывает их с помощью командлета Set-ADAccountPassword.

Использование сторонних инструментов управления

Существуют сторонние инструменты управления, которые также предлагают способы сброса паролей Active Directory. Некоторые инструменты также можно использовать для сброса паролей Active Directory для нескольких пользователей из разных организационных подразделений.

Совет. Командлет Set-ADAccountPassword также может быть нацелен на производственное подразделение, в котором находятся пользователи, но чтобы убедиться, что для всех пользователей установлен уникальный пароль, вам потребуется включить в сценарий логику, которая может генерировать уникальный пароль для каждого пользователя. обрабатывается скриптом.

Хотя вы можете использовать MMC «Пользователи и компьютеры Active Directory» для сброса паролей Active Directory, использование метода PowerShell обеспечивает большую гибкость, а также помогает сбросить уникальный пароль для каждого пользователя, указанного в файле CSV.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023