Manieren voor het opnieuw instellen van een Active Directory-wachtwoord

Wanneer Active Directory-gebruikers hun domeinwachtwoorden zijn vergeten of hun wachtwoorden laten verlopen, wordt de beheerder belast met het opnieuw instellen van de wachtwoorden. Met wachtwoord verwante helpdesktickets zijn nog steeds een van de vaakst voorkomende tickets die de helpdesk moet oplossen. Het is belangrijk dat wachtwoorden snel en veilig opnieuw worden ingesteld. Er zijn meerdere methoden waarmee beheerders een gebruikerswachtwoord opnieuw kunnen instellen. Het zijn:

  • Console Active Directory: gebruikers en computers (ADUC)
  • DSMOD-opdrachtregelprogramma
  • PowerShell-script
  • Active Directory-wachtwoordbeheerprogramma's van derden

In dit artikel zullen we zien hoe deze methoden voor het opnieuw instellen van Active Directory-wachtwoorden worden gebruikt en welke methode het best geschikt is.

Voordat u begint

Ongeacht de methode die u gebruikt, is het belangrijk dat u voldoende machtigingen in Active Directory hebt voor het opnieuw instellen van gebruikerswachtwoorden. U moet deel uitmaken van een beheerdersreferenties of minstens een lid zijn van de beveiligingsgroep accountbewerkingen in Active Directory. Als u de taken voor het opnieuw instellen van wachtwoorden delegeert aan helpdesktechnici, kunt u de OU-delegatiefunctie in AD gebruiken voor het toewijzen van de machtiging voor het opnieuw instellen van wachtwoorden.

Wachtwoorden opnieuw instellen via de ADUC-console

Opmerking: Als u geen toegang hebt tot de domeincontroller, moet u zorgen dat u de Beheerhulpprogramma's voor externe servers (RSAT) installeert en de ADUC MMC-module inschakelt.

  1. Meld aan bij een computer die verbonden is met het domein en open de console Active Directory: gebruikers en computers.
  2. Zoek de gebruikersaccount waarvan u het wachtwoord opnieuw wilt instellen.
  3. Klik in het rechterpaneel met de rechtermuisknop op de gebruikersaccount en selecteer Wachtwoord opnieuw instellen.
  4. Voer het nieuwe wachtwoord in en vervolgens opnieuw om te bevestigen.

Met ADUC kunt u meerdere gebruikersaccounts selecteren en vervolgens een gemeenschappelijk wachtwoord instellen voor de geselecteerde gebruikers. U kunt gebruikers echter alleen selecteren in één organisatie-eenheid en er kan slechts één gemeenschappelijk wachtwoord worden ingesteld voor de geselecteerde gebruikers.

Wachtwoorden opnieuw instellen met de Dsmod-opdrachtregel

Het Dsmod-hulpprogramma (Directory Service Modification) is een opdrachtregelprogramma dat kan worden gebruikt in Windows Server 2003 tot Windows Server 2012 voor het wijzigen van directoryservice-objecten. Dit is beschikbaar als u de serverrol Active Directory Domain Services (AD DS) hebt geïnstalleerd. Hoewel PowerShell Dsmod heeft vervangen, is het nog steeds een fantastisch hulpprogramma voor het wijzigen van de eigenschappen van gebruikersaccounts, inclusief het opnieuw instellen van wachtwoorden.

Om Dsmod te gebruiken, moet u de Dsmod-opdracht uitvoeren vanaf een verhoogde opdrachtprompt. Om een verhoogde opdrachtprompt te openen, klikt u op Start, klikt u met de rechtermuisknop op Opdrachtprompt en klikt u vervolgens op Uitvoeren als beheerder.

Om het wachtwoord opnieuw in te stellen voor Jan Jansen en hem te forceren zijn wachtwoord te wijzigen wanneer hij de volgende keer aanmeldt bij het netwerk, voert u het volgende in:

DSMOD user "CN=John Doe,CN=Users,DC=mydomain,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

Hoewel deze opdracht eenvoudig lijkt, moet u de distinguished name of DN-naam van de gebruiker opgeven. Dsmod-opdrachten accepteren geen sAMAccountName. Bovendien zou het opnieuw instellen van wachtwoorden van meerdere gebruikersaccounts de opdracht complexer en gevoeliger voor fouten maken.

Wachtwoorden opnieuw instellen met PowerShell-cmdlets

De PowerShell-cmdlet Set-ADAccountPassword kan worden gebruikt voor het opnieuw instellen van wachtwoorden. Deze cmdlet biedt de parameter “-Identity” die sAMAccountName kan accepteren van een gebruikersaccount, afzonderlijk van het accepteren van een Distinguished Name en een GUID van een gebruikersobject. Om het wachtwoord opnieuw in te stellen voor één gebruikersaccount, voert u de onderstaande PowerShell-opdracht uit:

Set-ADAccountPassword –Identity JohnDoe –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Hoewel PowerShell-scripts een fantastische manier zijn voor het opnieuw instellen van een gebruikerswachtwoord, zou het script te complex worden als u de wachtwoorden van meerdere gebruikers opnieuw wilt instellen.

Wachtwoorden opnieuw instellen met ADSelfService Plus

ADSelfService Plus, een geïntegreerde selfservice oplossing voor wachtwoordbeheer en eenmalige aanmelding in Active Directory, biedt eindgebruikers de mogelijkheid zelf wachtwoorden opnieuw in te stellen. Deze gebruikt beveiligde verificatiemethoden, zoals YubiKey Authenticator, Google Authenticator en biometrische verificatie om de identiteit van gebruikers te controleren voordat ze hen toestaan om wachtwoorden opnieuw in te stellen. En er is meer:

  • Gebruikers kunnen hun Active Directory-wachtwoorden direct vanaf het aanmeldingsscherm van hun Windows-, Linux- en macOS-machines opnieuw instellen, maar ook via hun mobiele apparaten met de Android- en iOS-apps van ADSelfService Plus.
  • Selfservice voor opnieuw instellen van wachtwoorden en ontgrendelen account kan worden ingeschakeld voor alle gebruikers in het domein of voor specifieke gebruikers door op OU en op groep gebaseerde beleidslijnen te maken.
  • Wachtwoorden kunnen worden gecontroleerd op complexiteit en naleving via de ingebouwde functie voor het versterken van het wachtwoordbeleid dat een woordenboekregel, patrooncontrole en andere complexiteitsinstelllingen bevat die ontbreken in het beleid van AD-domeinwachtwoorden.

OM het opnieuw instellen van wachtwoorden in te schakelen voor Active Directory-gebruikers met ADSelfService Plus:

  1. Download en installeer ADSelfService Plus.
  2. Meld aan met beheerdersreferenties.
  3. Opmerking: Standaard zijn zowel de gebruikersnaam als de wachtwoorden voor ADSelfService Plus 'admin'.

  4. U wordt gevraagd uw AD-domein te configureren. Zorg dat u voor de verificatie een account opgeeft die de bevoegdheid heeft om wachtwoorden opnieuw in te stellen in Active Directory.
  5. Ga naar Configuratie → Selfservice → Beleidsconfiguratie.
  6. Ways to reset Active Directory Password
  7. Schakel het selectievakje Wachtwoord opnieuw instellen in. Klik vervolgens op OU's/Groepen selecteren om de gebruikers voor wie u deze functie wilt inschakelen, te selecteren.
  8. Klik op Beleid opslaan.
  9. Klik op Meervoudige verificatie (onder het menu Beleidsconfiguratie).
  10. Ways to reset Active Directory Password
  11. Stel de benodigde meervoudige verificatiemethoden in. Op basis van de door u gekozen methoden, moeten gebruikers de vereiste informatie voor die methode opgeven in een proces dat inschrijving wordt genoemd.
  12. Schrijf gebruikers nu in via Configuratie > Systeembeheer > Snelle inschrijving. U kunt gebruikers automatisch inschrijven, hen een melding sturen of hen forceren om in te schrijven.
  13. Ways to reset Active Directory Password

Dat is het! Zodra gebruikers zijn ingeschreven, kunnen ze hun wachtwoorden opnieuw instellen, zonder contact op te nemen met de helpdesk.

ADSelfService Plus vertrouwd door