Wanneer Active Directory-gebruikers hun domeinwachtwoorden zijn vergeten of hun wachtwoorden laten verlopen, wordt de beheerder belast met het opnieuw instellen van de wachtwoorden. Met wachtwoord verwante helpdesktickets zijn nog steeds een van de vaakst voorkomende tickets die de helpdesk moet oplossen. Het is belangrijk dat wachtwoorden snel en veilig opnieuw worden ingesteld. Er zijn meerdere methoden waarmee beheerders een gebruikerswachtwoord opnieuw kunnen instellen. Het zijn:
In dit artikel zullen we zien hoe deze methoden voor het opnieuw instellen van Active Directory-wachtwoorden worden gebruikt en welke methode het best geschikt is.
Ongeacht de methode die u gebruikt, is het belangrijk dat u voldoende machtigingen in Active Directory hebt voor het opnieuw instellen van gebruikerswachtwoorden. U moet deel uitmaken van een beheerdersreferenties of minstens een lid zijn van de beveiligingsgroep accountbewerkingen in Active Directory. Als u de taken voor het opnieuw instellen van wachtwoorden delegeert aan helpdesktechnici, kunt u de OU-delegatiefunctie in AD gebruiken voor het toewijzen van de machtiging voor het opnieuw instellen van wachtwoorden.
Opmerking: Als u geen toegang hebt tot de domeincontroller, moet u zorgen dat u de Beheerhulpprogramma's voor externe servers (RSAT) installeert en de ADUC MMC-module inschakelt.
Met ADUC kunt u meerdere gebruikersaccounts selecteren en vervolgens een gemeenschappelijk wachtwoord instellen voor de geselecteerde gebruikers. U kunt gebruikers echter alleen selecteren in één organisatie-eenheid en er kan slechts één gemeenschappelijk wachtwoord worden ingesteld voor de geselecteerde gebruikers.
Het Dsmod-hulpprogramma (Directory Service Modification) is een opdrachtregelprogramma dat kan worden gebruikt in Windows Server 2003 tot Windows Server 2012 voor het wijzigen van directoryservice-objecten. Dit is beschikbaar als u de serverrol Active Directory Domain Services (AD DS) hebt geïnstalleerd. Hoewel PowerShell Dsmod heeft vervangen, is het nog steeds een fantastisch hulpprogramma voor het wijzigen van de eigenschappen van gebruikersaccounts, inclusief het opnieuw instellen van wachtwoorden.
Om Dsmod te gebruiken, moet u de Dsmod-opdracht uitvoeren vanaf een verhoogde opdrachtprompt. Om een verhoogde opdrachtprompt te openen, klikt u op Start, klikt u met de rechtermuisknop op Opdrachtprompt en klikt u vervolgens op Uitvoeren als beheerder.
Om het wachtwoord opnieuw in te stellen voor Jan Jansen en hem te forceren zijn wachtwoord te wijzigen wanneer hij de volgende keer aanmeldt bij het netwerk, voert u het volgende in:
DSMOD user "CN=John Doe,CN=Users,DC=mydomain,DC=Com" -pwd A1b2C3d4 -mustchpwd yes
Hoewel deze opdracht eenvoudig lijkt, moet u de distinguished name of DN-naam van de gebruiker opgeven. Dsmod-opdrachten accepteren geen sAMAccountName. Bovendien zou het opnieuw instellen van wachtwoorden van meerdere gebruikersaccounts de opdracht complexer en gevoeliger voor fouten maken.
De PowerShell-cmdlet Set-ADAccountPassword kan worden gebruikt voor het opnieuw instellen van wachtwoorden. Deze cmdlet biedt de parameter “-Identity” die sAMAccountName kan accepteren van een gebruikersaccount, afzonderlijk van het accepteren van een Distinguished Name en een GUID van een gebruikersobject. Om het wachtwoord opnieuw in te stellen voor één gebruikersaccount, voert u de onderstaande PowerShell-opdracht uit:
Set-ADAccountPassword –Identity JohnDoe –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)
Hoewel PowerShell-scripts een fantastische manier zijn voor het opnieuw instellen van een gebruikerswachtwoord, zou het script te complex worden als u de wachtwoorden van meerdere gebruikers opnieuw wilt instellen.
ADSelfService Plus, een geïntegreerde selfservice oplossing voor wachtwoordbeheer en eenmalige aanmelding in Active Directory, biedt eindgebruikers de mogelijkheid zelf wachtwoorden opnieuw in te stellen. Deze gebruikt beveiligde verificatiemethoden, zoals YubiKey Authenticator, Google Authenticator en biometrische verificatie om de identiteit van gebruikers te controleren voordat ze hen toestaan om wachtwoorden opnieuw in te stellen. En er is meer:
OM het opnieuw instellen van wachtwoorden in te schakelen voor Active Directory-gebruikers met ADSelfService Plus:
Opmerking: Standaard zijn zowel de gebruikersnaam als de wachtwoorden voor ADSelfService Plus 'admin'.
Dat is het! Zodra gebruikers zijn ingeschreven, kunnen ze hun wachtwoorden opnieuw instellen, zonder contact op te nemen met de helpdesk.