Windows AD-Konto entsperren und * temporäres * Passwort über die Befehlszeile zuweisen?

11

Joe Brown ist am Telefon. Er ist von Windows ausgeschlossen, weil er sein Passwort vergessen hat. Wir könnten sein Passwort über Active Directory-Benutzer und -Computer zurücksetzen, aber ADUC ist sehr nervig klickend.

Natürlich ist es auch möglich, Joe Browns Konto zu entsperren und sein Passwort über NET USER auf "33Foo $ Bars" zurückzusetzen:

Netznutzer jbrown 33Foo $ bar / domain / active: ja

Leider wird das Flag, bei dem er ein neues Passwort auswählen muss, von diesem Befehl nicht gesetzt. Als aufgeklärte Administratoren möchten wir zu keinem Zeitpunkt das permanente Passwort eines Benutzers kennen.

Verfügt jemand über eine effiziente Befehlszeilenmethode zum Entsperren / Zurücksetzen und zum Erfordernis einer Kennwortänderung mit nativen Windows-Tools (einschließlich PowerShell oder VBScript, falls erforderlich), jedoch ohne Binärdateien von Drittanbietern?

Kontext: Windows Server 2008-Domäne.

windows command-line-interface password password-reset windows-server-2008 Skyhawk
quelle

Antworten:

13

Das binäre 'dsmod' (kommt mit Win7 und Vista und irgendwo auf dem Weg, auf dem XP sie auch bekommen hat) sollte tun, was Sie wollen.

dsmod user UserDN -pwd $ Passwort -mustchpwd yes

Es kann auch viel mehr! Sehr nützliches Werkzeug.

Neben diesem Tool gibt es noch einige andere Tools, die ebenfalls sehr nützlich sind. dsqueryDurchsucht AD über die Befehlszeile. dsgetRuft Attribute von Objekten ab. dsaddermöglicht das Erstellen von Objekten (und Benutzern!). Auf jeden Fall einen Blick wert für jeden Scripter.

sysadmin1138
quelle
Die ds * Tools waren neu in Server 2003
mfinni
8
+1, aber DNs brauchen viel zu lange, um sie dsquery user -samid username | dsmod user -mustchpwd yes -pwd password
einzugeben
Vielen Dank. Insbesondere mit dem Kommentar von @ jscott ist dies eine perfekte Lösung.
Skyhawk
2

Ungetestet, aber ich habe solche Sachen schon einmal mit DSMod-Benutzern gemacht

dsquery user -samid username | dsmod.exe user -pwd <Password> -mustchpwd yes -disabled no

/ editiert - enthält den guten Vorschlag, dsquery voranzustellen, damit Sie das Samid (Login) anstelle des UDN nachschlagen können.

mfinni
quelle
0

So setzen Sie das Kennwort eines Benutzers zurück und erzwingen eine Kennwortänderung:

dsmod user "CN=John Doe,CN=Users,DC=microsoft,DC=com" -pwd A1b2C3d4 -mustchpwd yes
gWaldo
quelle
0

Dies funktionierte nur für mich auf meiner Win7-Box.

net user *username* *password*/domain ACTIVE:Yes /logonpasswordchg:yes
LucMaN
quelle
Ich habe es versucht, aber es hat keine Passwortänderung
erzwungen