Sposoby resetowania hasła usługi Active Directory
Ad Self Service password » Sposoby resetowania hasła usługi Active Directory

Sposoby resetowania hasła usługi Active Directory

Kiedy użytkownicy Active Directory zapomną swoich haseł domeny lub ich hasła wygasną, administratorzy muszą je zresetować. Bilety dotyczące haseł przesyłane do działu pomocy technicznej są nadal jednymi z najczęściej otrzymywanych przez ten dział. Szybkie i bezpieczne resetowanie haseł jest ważne. Istnieje wiele metod resetowania hasła użytkownika przez administratora. Są to:

  • Konsola użytkowników i komputerów usługi Active Directory (ADUC)
  • Narzędzie wiersza polecenia DSMOD
  • Skrypt PowerShell
  • Zewnętrzne narzędzia do zarządzania hasłami usługi Active Directory

W tym artykule pokażemy, jak stosować te metody do resetowania haseł usługi Active Directory i która metoda jest najlepsza.

Zanim zaczniesz

Niezależnie od zastosowanej metody ważne jest, aby mieć wystarczające uprawnienia w Active Directory do resetowania haseł użytkowników. Musisz należeć do grupy administratorów domeny lub przynajmniej być członkiem grupy zabezpieczeń operacji dotyczących kont w Active Directory. Jeśli delegujesz zadania resetowania hasła do techników działu pomocy technicznej, możesz użyć funkcji delegowania jednostki organizacyjnej w AD, aby przypisać uprawnienia do resetowania hasła.

Resetowanie haseł za pomocą konsoli ADUC

Uwaga: jeśli nie masz dostępu do kontrolera domeny, zainstaluj Narzędzia administracji zdalnej serwera (RSAT) i włącz przystawkę MMC ADUC.

  1. Zaloguj się na komputerze połączonym z domeną i otwórz konsolę użytkowników i komputerów usługi Active Directory.
  2. Znajdź konto użytkownika, którego hasło chcesz zresetować.
  3. W prawym okienku kliknij prawym przyciskiem myszy konto użytkownika i wybierz opcję Resetuj hasło.
  4. Wpisz nowe hasło i wprowadź je ponownie w celu potwierdzenia.

Za pomocą ADUC można wybrać wiele kont użytkowników, a następnie ustawić wspólne hasło dla wybranych użytkowników. Można jednak wybrać tylko użytkowników w jednej jednostce organizacyjnej i dla wybranych użytkowników można ustawić tylko wspólne hasło.

Resetowanie haseł za pomocą wiersza polecenia Dsmod

Narzędzie do modyfikacji usługi katalogowej Directory Service Modification (Dsmod) jest narzędziem wiersza polecenia, którego można używać w systemach Windows Server 2003 do Windows Server 2012 do modyfikacji obiektów usługi katalogowej. Jest dostępne, jeśli masz zainstalowaną rolę serwera Active Directory Domain Services (AD DS). Chociaż program PowerShell zastąpił narzędzie Dsmod, nadal jest to świetne rozwiązanie do modyfikacji właściwości kont użytkowników, w tym do resetowania haseł.

Aby użyć narzędzia Dsmod, musisz uruchomić polecenie Dsmod z wiersza polecenia z podwyższonym poziomem uprawnień. Aby otworzyć wiersz polecenia z podwyższonym poziomem uprawnień, kliknij przycisk Start, kliknij prawym przyciskiem myszy pozycję Wiersza polecenia, a następnie kliknij Uruchom jako administrator.

Aby zresetować hasło Jana Kowalskiego i zmusić go do zmiany hasła przy następnym logowaniu do sieci, wpisz:

DSMOD user "CN=John Doe,CN=Users,DC=mydomain,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

Chociaż to polecenie wydaje się wystarczająco proste, musisz podać wyróżniającą nazwę użytkownika. Wartość sAMAccountName jest niedozwolony w poleceniach Dsmod. Ponadto resetowanie haseł wielu kont użytkowników sprawiłoby, że polecenie byłoby bardziej złożone i podatne na błędy.

Resetowanie haseł za pomocą poleceń cmdlet PowerShell

Do wykonania operacji resetowania hasła można użyć polecenia cmdlet Set-ADAccountPassword PowerShell. To polecenie cmdlet dostarcza parametr „-Identity” obsługujący wartość sAMAccountName konta użytkownika oprócz nazwy wyróżniającej oraz identyfikatora GUID obiektu użytkownika. Aby zresetować hasło jednego konta użytkownika, wykonaj następujące polecenie PowerShell:

Set-ADAccountPassword –Identity JohnDoe –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Chociaż skrypty PowerShell są świetnym sposobem na zresetowanie hasła użytkownika, w przypadku resetowania haseł wielu użytkowników skrypt stałby się zbyt skomplikowany.

Resetowanie haseł za pomocą ADSelfService Plus

ADSelfService Plus, zintegrowane rozwiązanie do samoobsługowego zarządzania hasłami i logowania jednokrotnego w usłudze Active Directory, które umożliwia użytkownikom końcowym resetowanie haseł samodzielnie. Wykorzystuje bezpieczne metody uwierzytelniania, takie jak YubiKey Authenticator, Google Authenticator i uwierzytelnianie biometryczne, aby zweryfikować tożsamość użytkowników przed umożliwieniem im zresetowania haseł. To nie wszystko:

  • Użytkownicy mogą resetować swoje hasła usługi Active Directory bezpośrednio z ekranu logowania swoich komputerów z systemami Windows, Linux i macOS, a także za pośrednictwem urządzeń mobilnych w aplikacji ADSelfService Plus dla systemów Android i iOS.
  • Samoobsługowe resetowanie haseł i odblokowywanie konta można włączyć dla wszystkich użytkowników w domenie lub dla konkretnych użytkowników, tworząc zasady oparte na jednostce organizacyjnej i grupie.
  • Wbudowana funkcja wymuszania zasad haseł pozwala sprawdzać ich złożoność i zgodność. Zawiera ona regułę słownikową, funkcję sprawdzania wzorców i inne ustawienia złożoności, których brakuje w zasadach haseł domeny AD.

Włączanie samoobsługowego resetowania haseł dla użytkowników Active Directory za pomocą ADSelfService Plus:

  1. Pobierz i zainstaluj ADSelfService Plus.
  2. Zaloguj się, podając poświadczenia administratora.

    3. Uwaga: Domyślnie zarówno nazwa użytkownika, jak i hasła do ADSelfService Plus to admin.

  3. Zostanie wyświetlony monit o skonfigurowanie domeny AD. Podczas uwierzytelniania należy podać konto, które ma uprawnienie do resetowania haseł w usłudze Active Directory.
  4. Przejdź do obszaru Konfiguracja > Samoobsługa > Konfiguracja zasad.
    5. Ways to reset Active Directory Password
  5. Zaznacz pole wyboru Resetuj hasło. Następnie kliknij przycisk Wybierz jednostki organizacyjne/grupy, aby wybrać użytkowników, dla których chcesz włączyć tę funkcję.
  6. Kliknij Zapisz zasady.
  7. Kliknij Uwierzytelnianie wieloskładnikowe (pod menu Konfiguracja zasad).
    8. Ways to reset Active Directory Password
  8. Skonfiguruj niezbędne metody uwierzytelniania wieloskładnikowego. W zależności od wybranych metod możliwe, że użytkownicy będą musieli podać informacje wymagane w ramach danej metody w procesie zwanym rejestracją.
  9. Teraz zarejestruj użytkowników, przechodząc do obszaru Konfiguracja > Narzędzia administracyjne > Szybka rejestracja. Możesz automatycznie zarejestrować użytkowników, wysłać im powiadomienie lub wymusić ich zarejestrowanie.
    10. Ways to reset Active Directory Password

Gotowe! Po zarejestrowaniu użytkownicy mogą resetować swoje hasła bez kontaktowania się z działem pomocy technicznej.

Uprość zarządzanie hasłami za pomocą ADSelfService Plus.

Zezwalaj użytkownikom na resetowanie haseł bezpośrednio z ekranów logowania.

Chroń resetowanie haseł użytkowników za pomocą adaptacyjnego MFA z 19 różnymi autoryzatorami.

Pomóż użytkownikom ustawić silne hasła, które są zgodne z obowiązującymi standardami dotyczącymi haseł.

Pobierz teraz Ucz się więcej

Samoobsługowe narzędzie do resetowania hasła dla użytkowników usługi Active Directory.

Pobierz teraz