Sådan nulstiller du Active Directory-adgangskoder

Når brugere af Active Directory glemmer deres domæneadgangskoder eller lader deres adgangskoder udløbe, bliver det administratorernes opgave at nulstille adgangskoderne. Supportanmodninger til helpdesk angående adgangskoder er stadig en af de oftest forekommende supportanmodninger, de modtager. Det er vigtigt at nulstille adgangskoder hurtigt og på en sikker måde. Der findes flere fremgangsmåder, hvormed administratorer kan nulstille en brugers adgangskode. Disse fremgangsmåder er:

  • ADUC-konsollen (Active Directory Users and Computers)
  • DSMOD-kommandolinjeværktøj
  • PowerShell-script
  • Tredjepartsværktøjer til administration af Active Directory-adgangskoder

Denne artikel beskriver, hvordan man bruger disse fremgangsmåder til at nulstille Active Directory-adgangskoder, og hvilken fremgangsmåde der egner sig bedst.

Før du går i gang

Uanset hvilken fremgangsmåde du benytter, er det vigtigt, at du har tilstrækkelige tilladelser i Active Directory til at nulstille brugernes adgangskoder. Du skal enten være en del af gruppen Domæneadministratorer eller i det mindste være medlem af sikkerhedsgruppen Kontoadministration i Active Directory. Hvis du uddelegerer opgaverne med nulstilling af adgangskoder til helpdesk-medarbejdere, kan du bruge OU-delegeringsfunktionen i AD til at give tilladelse til nulstilling af adgangskoder.

Sådan nulstiller du adgangskoder via ADUC-konsollen

Bemærk: Hvis du ikke har adgang til domænets kontrolfunktion, skal du sørge for at installere Remote Server Administration Tools (RSAT) og aktivere ADUC MMC-snap-in.

  1. Log ind på en computer, der er forbundet med domænet, og åbn konsollen Active Directory Users and Computers.
  2. Find den brugerkonto, hvis adgangskode du ønsker at nulstille.
  3. Højreklik på brugerkontoen i højre panel, og vælg Nulstil adgangskode.
  4. Indtast den nye adgangskode, og angiv den igen for at bekræfte.

Med ADUC kan du vælge flere brugerkonti og derefter angive en fælles adgangskode for de valgte brugere. Du kan dog kun vælge brugere i en enkelt organisatorisk enhed, og der kan kun indstilles en fælles adgangskode for de valgte brugere.

Sådan nulstiller du adgangskoder via Dsmod-kommandolinjen

Værktøjet Directory Service Modification (Dsmod) er et kommandolinjeværktøj, der kan bruges i Windows Server 2003 til Windows Server 2012 til at ændre tjenesteobjekter i mapper. Det kan fås, hvis du har serverrollen Active Directory Domain Services (AD DS) installeret. Selvom PowerShell har erstattet Dsmod, er det stadig et godt værktøj til at ændre brugerkontis egenskaber, herunder nulstilling af adgangskoder.

For at bruge Dsmod skal du køre kommandoen Dsmod fra en kommandoprompt med flere tilladelser. For at åbne en kommandoprompt med flere tilladelser skal du klikke på Start, højreklikke på Kommandoprompt og derefter klikke på Kør som administrator.

For at nulstille adgangskoden for John Doe og tvinge vedkommende til at ændre sin adgangskode, når denne næste gang logger på netværket, skal du skrive:

DSMOD user "CN=John Doe,CN=Users,DC=mydomain,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

Selv om denne kommando forekommer enkel nok, er du nødt til at angive brugerens særskilte navn. Dsmod-kommandoer accepterer ikke sAMAccountName. Desuden gør nulstilling af adgangskoder til flere brugerkonti kommandoen mere omfattende og muligvis fejlbehæftet.

Sådan nulstiller du adgangskoder via PowerShell-cmdlets

PowerShell-cmdletten Set-ADAccountPassword kan bruges til at nulstille adgangskoder. Denne cmdlet indeholder parameteren "-Identity", som kan acceptere sAMAccountName for en brugerkonto ud over at acceptere særskilt navn og brugerobjekt-GUID. For at nulstille adgangskoden til en enkelt brugerkonto skal du køre PowerShell-kommandoen nedenfor:

Set-ADAccountPassword –Identity JohnDoe –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Selvom PowerShell-scripts er en god måde, hvorpå man kan nulstille en brugers adgangskode, bliver scriptet for vanskeligt, hvis man ønsker at nulstille adgangskoder for flere brugere.

Sådan nulstiller du adgangskoder via ADSelfService Plus

ADSelfService Plus, der er en løsning til selvbetjent administration af adgangskoder og enkeltlogon i Active Directory, giver slutbrugerne mulighed for at nulstille adgangskoder på egen hånd. Den anvender sikre godkendelsesmetoder såsom YubiKey Authenticator, Google Authenticator og biometrisk godkendelse til at bekræfte brugernes identitet, før de får lov til at nulstille adgangskoder. Og der er mere at komme efter:

  • Brugerne kan nulstille deres Active Directory-adgangskoder direkte på loginskærmen på deres Windows-, Linux- og macOS-enheder samt via deres mobilenheder ved hjælp af ADSelfService Plus Android- og iOS-apps.
  • Selvbetjent nulstilling af adgangskoder og oplåsning af konti kan aktiveres for alle brugere i domænet eller for bestemte brugere ved at oprette OU- og gruppebaserede politikker.
  • Det er muligt at kontrollere adgangskoder for deres kompleksitet, og om de overholder reglerne, via den indbyggede funktion til forbedring af politik for adgangskoder, som indeholder ordbogsregler, værktøj til kontrol mønstre og andre indstillinger for sværhedsgrad, der mangler i politikken for adgangskoder til AD-domæner.

Sådan aktiverer du selvbetjent nulstilling af adgangskoder til brugere af Active Directory, som anvender ADSelfService Plus:

  1. Download og installer ADSelfService Plus.
  2. Log ind med adgangsoplysningerne som administrator.

    3. Bemærk: Både brugernavn og adgangskoder til ADSelfService Plus er som standard "admin".

  3. Du bliver bedt om at konfigurere dit AD-domæne. I forbindelse med godkendelse skal du sørge for at angive en konto, der har rettighed til at nulstille adgangskode i Active Directory.
  4. Gå til Konfiguration > Selvbetjening > Konfiguration af politik.
    5. Ways to reset Active Directory Password
  5. Markér afkrydsningsfeltet Nulstil adgangskode. Klik derefter på Vælg OU'er/grupper for at vælge de brugere, som du ønsker at aktivere denne funktion for.
  6. Klik på Gem politik.
  7. Klik på Multifaktorgodkendelse (under menuen Konfiguration af politik).
    8. Ways to reset Active Directory Password
  8. Konfigurer de nødvendige metoder til multifaktorgodkendelse. På baggrund af de metoder, du vælger, skal brugerne muligvis angive de oplysninger, der kræves til den pågældende metode i en proces, der kaldes tilmelding.
  9. Du kan nu tilmelde brugere ved at gå til Konfiguration > Administrative værktøjer > Hurtig tilmelding. Du kan tilmelde brugere automatisk, sende dem en meddelelse eller tvinge dem til at tilmelde sig.
    10. Ways to reset Active Directory Password

Det er alt! Når brugerne er tilmeldt, kan de nulstille deres adgangskoder uden at kontakte helpdesk.

Værktøj til selvbetjent nulstilling af adgangskoder i AD

Giv brugerne mulighed for at nulstille deres adgangskoder direkte på deres logonskærme.

Beskyt nulstillinger af brugeradgangskoder med situationstilpasset MFA med 19 forskellige godkendere.

Hjælp brugerne med at angive stærke adgangskoder, der overholder de gældende standarder for adgangskoder.

Download nu Få mere at vide

Ofte stillede spørgsmål

1. Hvad er selvbetjent nulstilling af Active Directory-adgangskoder?

Selvbetjent nulstilling af Active Directory-adgangskoder er, som navnet antyder, en proces, hvor brugerne kan nulstille deres egne Active Directory-adgangskoder uden hjælp fra helpdesk.

2. Hvorfor er selvbetjent nulstilling af adgangskoder bedre end nulstilling af adgangskoder via helpdesk?

Med selvbetjent nulstilling af adgangskoder kan brugerne nulstille deres egne Active Directory-adgangskoder uden at skulle vente på, at en medarbejder fra helpdesk hjælper dem. På den måde sikres det, at brugerne ikke er nødt til at stoppe deres arbejde på grund af en glemt adgangskode, især når de arbejder på skæve tidspunkter, hvor hjælp fra helpdesk måske ikke er mulig.

Når helpdesk hjælper med nulstillinger af adgangskoden, får brugeren besked om den nye adgangskode enten via e-mail eller sms, som begge er usikre metoder. Hvis den bliver opdaget eller sporet af hackere, kan det medføre angreb, hvor de overtager brugerens konto, og konsekvenserne kan være meget alvorlige. Selvbetjent nulstilling af adgangskoder eliminerer disse sikkerhedsproblemer ved at give brugerne mulighed for at nulstille deres egne adgangskoder uden indblanding fra tredjepart.

3. Hvilket værktøj til nulstilling af Active Directory-adgangskoder kan jeg implementere i min organisation?

Du kan benytte ADSelfService Plus' funktion til selvbetjent nulstilling af AD-adgangskoder i din organisation. ADSelfService Plus er en enkel, brugervenlig konsol, som både administratorer og slutbrugere kan interagere med. ADSelfService Plus beskytter alle sine selvbetjente funktioner med effektive MFA-validatorer (multifaktorgodkendelse) såsom biometri, YubiKey, smart card og tidsbaserede engangsadgangskoder. Du kan vælge mellem 19 moderne metoder til godkendelse til at levere MFA til dine brugeres selvbetjente nulstilling af adgangskoder.

For at få en bedre forståelse af ADSelfService Plus' funktion til selvbetjent nulstilling af adgangskoder, kan du lave en aftale med en af vores produkteksperter i løsningen om, at få vist en personlig webdemo.

4. Hvilke funktioner er de mest karakteristiske ved ADSelfService Plus' selvbetjente nulstilling af adgangskoder?

Med ADSelfService Plus' funktion til selvbetjent nulstilling af adgangskoder kan brugerne:

  • Nulstille adgangskoder på logonskærme.
  • Nulstille adgangskoder i webbrowsere.
  • Nulstille adgangskoder på mobilenheder.
  • Nulstille adgangskoder via et privat netværk.
  • Foretage nulstillinger af adgangskoder på en sikker måde efter identitetsbekræftelse via situationstilpasset MFA.

Med ADSelfService Plus får du også selvbetjeningsfunktioner såsom selvbetjent oplåsning af konti, selvbetjent ændring af adgangskoder og selvbetjent opdatering af mapper.

ADSelfService Plus understøtter ligeledes

  •  

    Situationstilpasset MFA

    Aktivér kontekstbaseret MFA med 19 forskellige godkendelsesfaktorer til logins på endpoints og applikationer.

  •  

    Enkeltlogon til virksomheder

    Giv brugerne adgang til alle virksomhedsapplikationer med et enkelt, sikkert godkendelsesflow.

  •  

    Muliggørelse af fjernarbejde

    Gør fjernarbejde nemmere med opdateringer af cachelagrede adgangsoplysninger, sikre logins og administration af adgangskoder på mobiltelefonen.

  •  

    Effektive integrationer

    Skab et effektivt og sikkert IT-miljø via integration med SIEM-, ITSM- og IAM-værktøjer.

  •  

    Selvbetjening for virksomheder

    Uddeleger profilopdateringer og gruppeabonnementer til slutbrugere, og overvåg, hvordan de udfører disse selvbetjeningshandlinger med godkendelsesarbejdsgange.

  •  

    Zero-trust

    Skab et zero-trust-miljø med avancerede teknikker til identitetsbekræftelse, og gør dine netværk modstandsdygtige over for trusler.

Selvbetjeningsværktøj til nulstilling af adgangskode for Active Directory-brugere

Download nu

Relaterede emner