Modi per reimpostare la password di Active Directory

Quando gli utenti di Active Directory dimenticano le loro password di dominio o le lasciano scadere, la reimpostazione è un carico di lavoro per gli amministratori. Le richieste al servizio di assistenza relative alle password sono ancora tra le più comuni. Poter reimpostare le password in modo rapido e sicuro è importante. Sono disponibili alcuni metodi mediante i quali gli amministratori possono reimpostare le password degli utenti. Nello specifico:

• Console di computer e utenti di Active Directory (ADUC)
• Strumento della riga di comando DSMOD
• Script PowerShell
• Strumenti di gestione delle password di Active Directory di terze parti

In questo articolo vedremo come utilizzare questi metodi per reimpostare le password di Active Directory e quale metodo è il più adatto.

Operazioni preliminari

Indipendentemente dal metodo utilizzato, è importante disporre di sufficienti autorizzazioni in Active Directory per reimpostare le password degli utenti. Devi far parte del gruppo di amministratori di dominio o almeno essere un membro del gruppo di sicurezza delle operazioni sull'account in Active Directory. Se deleghi le attività di reimpostazione delle password ai tecnici del servizio di assistenza, puoi utilizzare la funzionalità di delega delle unità organizzative in AD per assegnare l'autorizzazione di reimpostazione delle password.

Reimpostazione delle password mediante la console ADUC

Nota: Se non hai accesso al controller di dominio, installa gli strumenti di amministrazione del server da remoto (RSAT) e abilita lo snap-in MMC di ADUC.

1. Effettua l'accesso a un computer collegato al dominio e apri la console di computer e utenti di Active Directory.
2. Trova l'account utente di cui vuoi reimpostare la password.
3. Nel pannello di destra, fai clic destro sull'account utente e seleziona Reimposta la password.
4. Digita la nuova password e inseriscila una seconda volta per confermare.

Utilizzando ADUC, puoi selezionare più account utente e impostare una password comune per gli utenti selezionati. Tuttavia, puoi selezionare solo gli utenti che fanno parte di una singola unità organizzativa e puoi impostare solo una password comune per gli utenti selezionati.

Reimpostazione delle password utilizzando la riga di comando Dsmod

Lo strumento di modifica del servizio di directory (Dsmod) è uno strumento di riga di comando che può essere utilizzato da Windows Server 2003 a Windows Server 2012 per modificare gli oggetti del servizio di directory. È disponibile se hai installato il ruolo del server dei servizi di dominio di Active Directory (AD DS). Nonostante PowerShell abbia sostituito Dsmod, rimane un ottimo strumento per modificare le proprietà degli account degli utenti, tra cui la reimpostazione delle password.

Per utilizzare Dsmod, devi eseguire il comando Dsmod da un prompt dei comandi elevato. Per aprire un prompt dei comandi elevato, fai clic su Avvio, fai clic destro su Prompt dei comandi e fai clic su Esegui come amministratore.

Per reimpostare la password dell'utente John Doe e obbligarlo a modificarla al suo prossimo accesso alla rete, digita:

DSMOD user "CN=John Doe,CN=Users,DC=mydomain,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

Questo comando appare abbastanza semplice, ma devi inserire il nome distinto dell'utente. I comandi Dsmod non accettano sAMAccountName. Inoltre, la reimpostazione contemporanea delle password di più account porta a comandi più complessi e con un rischio di errore più elevato.

Reimpostazione delle password utilizzando i cmdlet PowerShell

Il cmdlet PowerShell Set-ADAccountPassword può essere utilizzato per effettuare operazioni di reimpostazione delle password. Questo cmdlet fornisce il parametro “-Identity”, che può accettare sAMAccountName di un account utente oltre ad accettare il nome distinto e il GUID dell'oggetto utente. Per reimpostare la password per un singolo account utente, esegui questo comando PowerShell:

Set-ADAccountPassword –Identity JohnDoe –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Gli script PowerShell sono un ottimo modo per reimpostare le password degli utenti, ma diventano troppo complessi se è necessario reimpostare le password di più utenti.

Reimpostazione delle password utilizzando ADSelfService Plus

ADSelfService Plus, una soluzione integrata di gestione self-service delle password di Active Directory e Single Sign-On, permette agli utenti finali di reimpostare le password in modo autonomo. Utilizza metodi di autenticazione protetti, tra cui YubiKey Authenticator, Google Authenticator e gli elementi biometrici, per verificare le identità degli utenti prima di permettere loro di reimpostare le password. Inoltre:

• Gli utenti possono reimpostare le loro password di Active Directory direttamente dalla schermata di accesso delle macchine Windows, Linux e macOS e mediante i loro dispositivi mobili utilizzando l'app ADSelfService Plus per Android e iOS.
• La reimpostazione delle password e lo sblocco degli account self-service possono essere abilitati per tutti gli utenti nel dominio oppure per determinati utenti creando criteri in base a gruppi e unità organizzative.
• Vengono controllate la complessità e la conformità delle password mediante lo strumento di miglioramento dei criteri relativi alle password, che utilizza regole di dizionario, controlli di schemi e altre impostazioni di complessità che non sono presenti nei criteri relativi alle password del dominio AD.

Per abilitare la reimpostazione self-service delle password per gli utenti di Active Directory utilizzando ADSelfService Plus:

1. Scarica e installa ADSelfService Plus.
2. Effettua l'accesso con le credenziali da amministratore.

Nota: Per impostazione predefinita, il nome utente e la password per ADSelfService Plus sono admin.

3. Ti verrà richiesto di configurare il tuo dominio AD. Per l'autenticazione, verifica di aver inserito un account con privilegi di reimpostazione delle password in Active Directory.
4. Vai a Configurazione > Self-service > Configurazione dei criteri.

5. Seleziona la casella di controllo Reimpostazione delle password. Fai clic su Seleziona i gruppi o le unità organizzative per selezionare gli utenti a cui vuoi abilitare questa funzionalità.
6. Fai clic su Salva il criterio.
7. Fai clic su Autenticazione a più fattori (nel menu Configurazione dei criteri).

8. Configura i necessari metodi di autenticazione a più fattori. In funzione dei metodi che scegli, gli utenti possono dover fornire le informazioni necessarie per quel metodo in un processo chiamato registrazione.
9. Effettua la registrazione degli utenti in Configurazione > Strumenti amministrativi > Registrazione rapida. Puoi effettuare automaticamente la registrazione degli utenti, inviare loro una notifica o obbligarli a effettuare la registrazione.

E questo è tutto! Una volta effettuata la registrazione, gli utenti possono reimpostare le loro password senza contattare il servizio di assistenza.