Способы сброса пароля Active Directory

Когда пользователи Active Directory забывают свои пароли домена или срок действия их паролей истекает, администраторам приходится сбрасывать пароли. Обращения в службу поддержки, связанные с паролями, по-прежнему являются одними из наиболее распространенных обращений, получаемых службой поддержки. Важно быстро и безопасно сбрасывать пароли. Существует несколько методов, с помощью которых администраторы могут сбросить пароль пользователя. Вот они:

• Консоль "Пользователи и компьютеры Active Directory" (ADUC)
• Инструмент командной строки DSMOD
• Сценарий PowerShell
• Сторонние инструменты управления паролями Active Directory

В этой статье мы рассмотрим, как использовать эти методы для сброса паролей Active Directory и какой метод подходит лучше всего.

Прежде чем начать

Независимо от используемого метода важно иметь достаточные разрешения в Active Directory для сброса паролей пользователей. Вы должны быть либо членом группы администраторов домена, либо, по крайней мере, членом группы безопасности "Операции с учетными записями" в Active Directory. Если вы делегируете задачи по сбросу пароля техническим специалистам службы поддержки, вы можете использовать функцию делегирования подразделению в AD, чтобы назначить разрешение на сброс пароля.

Сброс паролей через консоль ADUC

Примечание: Если у вас нет доступа к контроллеру домена, обязательно установите средства удаленного администрирования сервера (RSAT) и включите оснастку ADUC MMC.

1. Войдите в систему на компьютере, подключенном к домену, и откройте консоль "Пользователи и компьютеры Active Directory".
2. Найдите учетную запись пользователя, пароль которого требуется сбросить.
3. На панели справа щелкните правой кнопкой мыши учетную запись пользователя и выберите "Сбросить пароль".
4. Введите новый пароль и введите его еще раз для подтверждения.

Используя ADUC, можно выбрать несколько учетных записей пользователей, а затем установить общий пароль для выбранных пользователей. Однако можно выбрать только пользователей из одного подразделения, и для выбранных пользователей можно установить только общий пароль.

Сброс паролей с помощью командной строки Dsmod

Средство изменения службы каталогов (Dsmod) - это инструмент командной строки, который можно использовать в операционных системах Windows Server 2003-2012 для изменения объектов службы каталогов. Он доступен, если установлена роль сервера доменных служб Active Directory (AD DS). Несмотря на то, что на смену Dsmod пришел PowerShell, он по-прежнему остается отличным инструментом для изменения свойств учетных записей пользователей, включая сброс паролей.

Чтобы использовать Dsmod, необходимо запустить команду Dsmod из командной строки с повышенными привилегиями. Чтобы открыть командную строку с повышенными привилегиями, нажмите кнопку "Пуск", щелкните правой кнопкой мыши пункт "Командная строка", а затем щелкните "Запуск от имени администратора".

Чтобы сбросить пароль для пользователя John Doe и заставить его сменить пароль при следующем входе в сеть, введите:

DSMOD user "CN=John Doe,CN=Users,DC=mydomain,DC=Com" -pwd A1b2C3d4 -mustchpwd yes

Хотя эта команда кажется достаточно простой, вам необходимо указать отличительное имя пользователя. Команды Dsmod не принимают sAMAccountName. Кроме того, сброс паролей нескольких учетных записей пользователей сделает команду более сложной и подверженной ошибкам.

Сброс паролей с помощью командлетов PowerShell

Командлет PowerShell Set-ADAccountPassword можно использовать для выполнения операций по сбросу пароля. Этот командлет предоставляет параметр "-Identity", который может принимать sAMAccountName учетной записи пользователя, помимо принятия различающегося имени и GUID объекта пользователя. Чтобы сбросить пароль для отдельной учетной записи пользователя, выполните следующую команду PowerShell:

Set-ADAccountPassword –Identity JohnDoe –Reset –NewPassword (ConvertTo-SecureString -AsPlainText "ThisPassword001" -Force)

Несмотря на то что сценарии PowerShell являются отличным способом сброса пароля пользователя, сценарий станет слишком сложным, если потребуется сбросить пароли нескольких пользователей.

Сброс паролей с помощью ADSelfService Plus

ADSelfService Plus - интегрированное решение для самостоятельного управления паролями Active Directory и единого входа, позволяющее конечным пользователям самостоятельно сбрасывать пароли. Оно использует безопасные методы аутентификации, такие как YubiKey Authenticator, Google Authenticator и биометрическую аутентификацию, для проверки личности пользователей, прежде чем разрешить им сбросить пароли. Кроме того:

• Пользователи могут сбрасывать свои пароли Active Directory прямо на экране входа в систему на своих компьютерах Windows, Linux и macOS, а также с помощью своих мобильных устройств с помощью приложений ADSelfService Plus для Android и iOS.
• Самостоятельный сброс паролей и разблокирование учетных записей можно включить для всех пользователей в домене или для определенных пользователей, создав политики на уровне подразделений и групп.
• Пароли можно проверять на сложность и соответствие требованиям с помощью встроенной функции улучшения политики паролей, которая содержит правило проверки по словарю, проверку шаблонов и другие параметры сложности, отсутствующие в политике паролей домена AD.

Порядок включения самостоятельного сброса пароля для пользователей Active Directory с помощью ADSelfService Plus:

1. Загрузите и установите ADSelfService Plus.
2. Войти, используя учетные данные администратора.

Примечание: По умолчанию имя пользователя и пароль для ADSelfService Plus - "admin".

3. Будет предложено настроить домен AD. Для аутентификации обязательно укажите учетную запись с правами сброса пароля в Active Directory.
4. Перейдите в раздел Конфигурация > Самообслуживание > Конфигурация политики.

5. Установите флажок Сбросить пароль. Затем нажмите "Выбрать подразделения/группы", чтобы выбрать пользователей, для которых требуется включить эту функцию.
6. Нажмите Сохранить политику.
7. Нажмите Многофакторная аутентификация (в меню "Конфигурация политики").

8. Настройте необходимые методы многофакторной аутентификации. В зависимости от выбранных методов пользователям может потребоваться предоставить информацию, необходимую для этого метода, в процессе, называемом регистрацией.
9. Теперь зарегистрируйте пользователей, перейдя в раздел Конфигурация > Администрирование > Быстрая регистрация. Вы можете автоматически регистрировать пользователей, отправлять им уведомления или принудительно регистрировать их.

Готово! После регистрации пользователи могут сбросить свои пароли, не обращаясь в службу поддержки.