Uživatelé obvykle aktualizují hesla svých doménových účtů pomocí nabídky Nastavení systému Windows. Pokud však zapomenou heslo nebo je jejich účet deaktivován, musí zasáhnout správce.
Tento příspěvek na blogu zkoumá několik způsobů, jak může administrátor resetovat heslo uživatele nebo vytvořit nové. Nejprve si projdeme nejjednodušší možnosti: Active Directory Users and Computers (ADUC) a Active Directory Administrative Center (ADAC). Ale protože oba mají svá omezení, probereme také, jak mohou správci spravovat uživatelská hesla efektivněji pomocí PowerShellu nebo nástrojů třetích stran.
Předpoklad: Kontrola oprávnění pro resetování hesla
Aby bylo možné resetovat heslo uživatele, musí mít správce příslušná oprávnění. Ve výchozím nastavení jsou členové skupin Domain Admins a Account Operators oprávněni měnit hesla pro jiné účty. Toto právo lze delegovat i dalším uživatelům a skupinám.
Chcete-li zkontrolovat, zda určitý správce může resetovat heslo k uživatelskému účtu, postupujte takto:
- V ACUC otevřete vlastnosti uživatele AD, pro kterého chcete zobrazit oprávnění.
- Přejděte na kartu Zabezpečení a klikněte na Upřesnit.
- Vyberte možnost Efektivní přístup, zadejte název účtu správce a zjistěte, zda má oprávnění k obnovení hesla.
Resetování hesel pomocí ADUC a ADAC
Správci mají dvě možnosti pro resetování uživatelských hesel založené na grafickém uživatelském rozhraní: Active Directory Users and Computers (ADUC) a Active Directory Administrative Center (ADAC).
Obnovení hesla pomocí ADUC
Chcete-li resetovat heslo uživatele pomocí ADUC, postupujte takto:
- Pokud znáte umístění uživatele v AD, jehož heslo chcete změnit, přejděte k němu, klikněte na něj pravým tlačítkem a vyberte možnost Obnovit heslo.
Pokud neznáte umístění uživatele v AD, vyhledejte uživatele kliknutím pravým tlačítkem na doménu a výběrem Najít:
Zadejte jméno uživatele a klikněte na Najít. Poté klikněte pravým tlačítkem na jméno ve výsledcích vyhledávání a zvolte Obnovit heslo.
- V dialogovém okně Obnovit heslo:
- Zadejte nové heslo a potvrďte jej opětovným zadáním.
- Zaškrtněte políčko Uživatel musí změnit heslo při příštím přihlášení, chcete-li přinutit uživatele změnit heslo při příštím přihlášení.
- Pokud byl uživatelský účet uzamčen zásadou zabezpečení AD z důvodu vícenásobných pokusů o přihlášení s nesprávným heslem, můžete účet odemknout zaškrtnutím políčka Odemknout účet uživatele.
- Klepněte na tlačítko OK.
Obnovení hesla pomocí ADAC
Proces resetování hesel pomocí ADAC je velmi podobný tomu, který se používá pro ADUC. Zde jsou snímky obrazovky pro klíčové kroky:
Resetování hesel pomocí PowerShellu
Zatímco ADUC a ADAC poskytují jednoduchý způsob, jak resetovat jedno uživatelské heslo, nejsou užitečné, pokud jde o změnu hesel pro mnoho uživatelů. K tomu správci potřebují PowerShell. PowerShell umožňuje rychle hromadně resetovat uživatelská hesla AD a dokonce automaticky vytvářet komplikovaná náhodná hesla.
Set-ADAccountPassword: Syntaxe
Začněme rutinou Set-ADAccountPassword, která nastavuje heslo pro účet uživatele, počítače nebo služby. Syntaxe této rutiny je následující:
Set-ADAccountPassword [-WhatIf] [-Confirm] [-AuthType <ADAuthType>] [-Credential <PSCredential>] [-Identity] <ADAccount> [-NewPassword <SecureString>] [-OldPassword <SecureString>] [-Partition <String>] [-PassThru] [-Reset] [-Server <String>] [<CommonParameters>]Set-ADAccountPassword: Parametry
Zde jsou klíčové parametry, o kterých byste měli vědět:
| Parametr | Bývalo |
| AuthType | Zadejte metodu ověřování, kterou chcete použít. Platné hodnoty jsou: Negotiate nebo 0 (výchozí) Basic nebo 1 |
| Potvrdit | Před spuštěním příkazu zobrazte výzvu k potvrzení. |
| Pověření | Spusťte příkaz nebo skript pomocí alternativních přihlašovacích údajů. |
| Identita | Zadejte objekt služby Active Directory, pro který je vyžadována operace resetování hesla. Jako hodnoty použijte následující: Distinguished Name GUID Bezpečnostní identifikátor (ObjectSid) Název účtu SAM |
| Nové heslo | Zadejte nové heslo. |
| Server | Zadejte plně kvalifikovaný název domény (FQDN) jednoho z následujících: FQDN domény FQDN adresářového serveru FQDN s číslem portu domény nebo adresářového serveru Pro tento parametr musí být ve vašem prostředí nasazena jedna z následujících služeb: Active Directory Domain Services Instance snímku služby Active Directory |
| Staré heslo | Při změně hesla uveďte staré heslo. |
| Rozdělit | Zadejte oddíl Active Directory, ke kterému jste připojeni, pokud to není výchozí oddíl. |
| Projít | Zobrazit podrobnosti o objektu uživatele. |
| Resetovat | Obnovte heslo pro objekt; musí být také specifikován parametr NewPassword. |
| Server | Zadejte plně kvalifikovaný název domény (FQDN) jednoho z následujících: FQDN domény FQDN adresářového serveru FQDN s číslem portu domény nebo adresářového serveru Pro tento parametr musí být ve vašem prostředí nasazena jedna z následujících služeb: Active Directory Domain Services Active Directory Snapshot Instance Active Directory Lightweight Domain Services |
| Co když | Podívejte se, jaký by byl výstup rutiny bez jejího skutečného spuštění. |
Nyní si projdeme několik příkladů použití rutiny Set-ADAccountPassword.
Resetujte uživatelské heslo AD
Spuštěním následujícího příkazu resetujte heslo uživatelského účtu. Budete vyzváni k zadání nového a starého hesla pro tento účet.
Set-ADAccountPassword -Identity AbbeyCrawford
Set-ADAccountPassword -Identity "CN=AbbeyCrawford,OU=VersaCorp,DC=milkyway,DC=local"
Případně můžete nejprve uložit heslo do proměnné a poté ji použít v rutině k resetování hesla:
$Pwd = ConvertTo-SecureString "MyNewPassword@123" -AsPlainText -Force Set-ADAccountPassword -Identity AbbeyWarren -NewPassword $Pwd -ResetSpuštění těchto rutin nezobrazí žádný výstup v konzole PowerShell.
Abychom získali výstup, musíme přidat parametr -PassThru. Zde je příklad, který používá tento parametr a také několik dalších:
Set-ADAccountPassword abbeywarren -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “NewP@ssw0rd123” -Force -Verbose) –PassThru
Odemkněte účet při resetování jeho hesla
Účet uživatele se může zablokovat, protože příliš často zadává nesprávné heslo, jak je nastaveno v zásadách uzamčení účtu. V takovém případě se uživateli zobrazí chyba, jako je následující:
Administrátor může odemknout účet ze stránky „Vlastnosti“ uživatele v ADUC:
Případně můžete jednoduše odemknout účet a zároveň resetovat jeho heslo pomocí parametru Unlock-ADAccount s kanálem:
Set-ADAccountPassword abbeywarren -Reset –NewPassword $PWD –PassThru | Unlock-ADAccountVynutit uživateli změnu hesla při příštím přihlášení
Chcete-li přinutit uživatele, aby si při příštím přihlášení do domény změnil heslo, můžete použít příkaz Set-ADUser:
Set-ADUser -Identity abbeywarren -ChangePasswordAtLogon $trueMůžete také změnit heslo uživatele a vynutit změnu hesla při příštím přihlášení jedním příkazem:
Set-ADAccountPassword abbeycrawford -NewPassword $Pwd -Reset -PassThru | Set-ADuser -ChangePasswordAtLogon $TrueSpuštění tohoto příkazu povolí možnost Uživatel musí změnit heslo při příštím přihlášení, jak je uvedeno níže:
Obnovte heslo pomocí alternativního pověření
Správci mají obvykle dva účty: standardní uživatelský účet a účet správce. Chcete-li změnit heslo uživatele pomocí svého privilegovaného účtu, když jste přihlášeni ke svému standardnímu účtu, použijte parametr -Credential
Nejprve uložte své přihlašovací údaje správce do proměnné:
$Credentials = Get-CredentialTento příkaz vás vyzve k zadání přihlašovacích údajů, které mají být uloženy:
Poté můžeme použít následující proměnnou k uložení nového hesla pro uživatele:
$Pwd = ConvertTo-SecureString "MyNewPassword@123" -AsPlainText -ForcePak použijeme obě tyto proměnné v Set-ADAccountPassword:
Set-ADAccountPassword -Identity abbeywarren -NewPassword $Pwd -Credential $CredentialOvěřte výsledky resetování hesla
Chcete-li ověřit, že heslo bylo úspěšně resetováno, použijte příkaz Get-ADUser ke kontrole data a času, kdy bylo heslo naposledy změněno:
Get-ADUser abbeywarren -Properties * | select name, pass*
Obnovte hesla pro více uživatelů na stejnou hodnotu
Někdy je potřeba hromadně resetovat uživatelská hesla. Předpokládejme například, že chcete nastavit stejné heslo pro všechny uživatele v technickém oddělení a požadujete, aby si tito uživatelé změnili svá hesla při příštím přihlášení. Jednoduše použijte Get-ADUser s parametrem -Filter a vyberte uživatele, jejichž „oddělení“ hodnota je nastavena na „Engineering“ a přenese je do rutiny Set-ADAccountPassword:
Get-ADUser -filter "department -eq 'Engineering'" | Set-ADAccountPassword -NewPassword $Pwd -Reset -PassThru | Set-ADuser -ChangePasswordAtLogon $True
Výsledky můžeme ověřit zobrazením vlastností hesla uživatelů:
Get-ADUser -filter "department -eq 'Engineering'" -Properties * | select name, pass*
Obnovte hesla pro více uživatelů na jinou hodnotu
Nyní předpokládejme, že máte soubor CSV nebo Excel, který obsahuje seznam více uživatelů, kteří potřebují resetování hesla, spolu s heslem, které má být každému uživateli přiděleno:
Spuštěním následujícího skriptu PowerShell změňte heslo pro každý uživatelský účet v souboru CSV:
Import-Csv c:\users.csv -Delimiter "," | Foreach {
$Password = ConvertTo-SecureString -AsPlainText $_.NewPassword -Force
Set-ADAccountPassword -Identity $_.sAMAccountName -NewPassword $Password -Reset -PassThru | Set-ADUser -ChangePasswordAtLogon $false
}
Zjednodušení správy hesel pomocí Netwrix GroupID
Netwrix GroupID zjednodušuje správu hesel tím, že poskytuje snadno přístupné portály pro podnikové uživatele i týmy helpdesku. Když je pomocí portálů upraven jakýkoli objekt AD, je určeným příjemcům zasláno e-mailové upozornění, které je na změny upozorní.
Uživatelský portál
Uživatelský portál umožňuje podnikovým uživatelům samostatně provádět následující činnosti:
- Změňte jim heslo
- Obnovte jejich heslo
- Odemkněte jejich účet
Zde je dialog pro uživatele, jak změnit své heslo v Netwrix GroupID:
Portál helpdesku
Pomocí portálu helpdesk mohou uživatelé helpdesku provádět následující operace jménem uživatelů:
- Obnovte heslo uživatele
- Odemknout uživatelský účet
Zde je dialog pro změnu hesla uživatele:
Zde je dialog pro odemknutí uživatelského účtu:
Uživatelé helpdesku mohou využít možnosti Dashboard, History a Live Updates portálu helpdesk ke sledování aktivity uživatelů na uživatelském portálu:
Zdroj: Netwrix
