Как поменять пароль в домене
Information Security Squad
stay tune stay secure
Изменение пароля локального пользователя и Active Directory с помощью PowerShell
Администратор может изменить пароль локальных пользователей на компьютере, используя графическую оснастку «Локальные пользователи и группы (lusrmgr.msc)».
Чтобы изменить пароль пользователя домена AD, в основном используется консоль GUI для пользователей и компьютеров Active Directory (ADUC).
Однако в некоторых случаях администратору может потребоваться изменить пароль пользователя из командной строки или в каком-либо скрипте.
В этой статье мы покажем, как управлять паролями пользователей (как локальными, так и доменными) с помощью PowerShell.
Как изменить пароль пользователя Active Directory с помощью PowerShell?
Чтобы изменить пароль пользователя Active Directory, используйте команду Set-ADAccountPassword из модуля Active Directory для Windows PowerShell.
Конечно, пользователь, выполняющий командлет, должен иметь права администратора домена или должен быть делегирован для сброса паролей пользователей AD.
Перед использованием командлета Set-ADAccountPassword вы должны импортировать этот модуль в сеанс PowerShell:
Пароль в памяти компьютера желательно хранить в защищенной форме, поэтому вы можете попросить администратора указать пароль следующим образом:
Введите новый пароль в консоли PowerShell.
Лучше указать имя учетной записи AD в виде имени samAccountname. Например, чтобы изменить пароль для пользователя jkelly, запустите команду:
Вы можете установить новый пароль пользователя непосредственно внутри кода скрипта:
Если вы хотите, чтобы пользователь изменил пароль при следующем входе в систему, выполните команду:
Вы можете сбросить пароль для нескольких пользователей одновременно (предположим, что имена учетных записей хранятся в текстовом файле user_to_reset.txt).
Используйте этот скрипт:
Как изменить пароль для локальных учетных записей Windows?
Чтобы изменить пароли локальных пользователей Windows, вы можете использовать API интерфейса ADSI (Active Directory Services Interface), который может использоваться для взаимодействия с Active Directory или с автономными компьютерами.
Откройте командную строку PowerShell и перечислите локальные учетные записи пользователей на текущем компьютере:
Вы также можете отобразить список локальных пользователей, например:
Чтобы сбросить пароль локального пользователя, сначала выберите пользователя (в этом примере имя локальной учетной записи — ConfRoom):
Кроме того, вы можете запросить смену пароля при следующем входе в систему:
Осталось сохранить изменения в учетной записи пользователя:
Эти же команды могут использоваться для изменения пароля пользователя на удаленных компьютерах.
Достаточно заменить [adsi] $ user = «WinNT: //./ConfRoom,user» командой [adsi] $ user = «WinNT: // RemotePCName / ConfRoom, user».
Чтобы установить одинаковый пароль для всех локальных пользователей, используйте следующий скрипт:
Как поменять пароль в домене
Общие обсуждения
Добрый день, коллеги
На одном из доменных компьютеров Windows 7 PRO обнаружилось, что пользователь не может сменить пароль по истечении его срока действия.
Система при вводе пароля сообщает о том, что необходимо сменить пароль, пользователь вводит новый пароль с учетом требований указанных в групповой политике, нажимает войти и Windows снова требует ввести пароль.
Пробовал в свойствах учетной записи поставить галку «Требовать смену пароля при первом входе. » та же самая проблема — при смене пароля снова требует ввести пароль и так до бесконечности.
Сейчас поставил галку «Срок действия пароля не ограничен» и так пользователь может войти в систему.
Повторюсь, что такая проблема на одном компьютере с любым доменным пользователем.
Логи чистые — никаких ошибок.
Поиск по поисковикам ничего не дал.
Как исправить данную проблему? Может кто сталкивался с этим?
- Изменен тип Anton Sashev Ivanov 24 ноября 2016 г. 14:17 Обсуждение
Все ответы
Проверь DNS для данной машины (часто пере заводили и не дочистили и тд и тп), переввод с чисткой AD помогает.
Проверь настройку в AD для пользователя 2-раза, там точно не стоит запрет смены пароля. (уставший админ не видит монитор)
- Изменено SetPac 7 ноября 2016 г. 8:41
В логах Security на DC есть только 2 failure audit:
Pre-authentication failed:
User Name: holding
User ID: EDCholding
Service Name: kadmin/changepw
Pre-Authentication Type: 0x0
Failure Code: 0x19
Client Address: 192.168.8.110
ID 672
Authentication Ticket Request:
User Name: holding
Supplied Realm Name: EDC
User ID: —
Service Name: kadmin/changepw
Service ID: —
Ticket Options: 0x40810010
Result Code: 0x17
Ticket Encryption Type: —
Pre-Authentication Type: —
Client Address: 192.168.8.110
Certificate Issuer Name:
Certificate Serial Number:
Certificate Thumbprint:
И больше ничего с этим компьютером и пользователем связанного
Усталость админа исключается: нас более 3-х, галки точно на запрет нет. Вот даже вывод командны net user:
C:Windowssystem32>net user /domain holding
Этот запрос будет обрабатываться контроллером домена edc.xxx.ru.
Имя пользователя holding
Учетная запись активна Yes
Учетная запись просрочена Никогда
Последний пароль задан 05.09.2016 7:59:43
Действие пароля завершается Никогда
Пароль допускает изменение 06.10.2016 7:59:43
Требуется пароль Yes
Пользователь может изменить пароль Yes
Разрешенные рабочие станции Все
Разрешенные часы входа Все
Команда выполнена успешно.
2 недели назад было с одним пользователем на этом компьютере, в итоге оставили временный пароль который я сам задал
и сегодня с другим пользователем, на данный момент я установил галку что пароль не истекает.
Может действительно нужно переввести в домен комьютер. Позже попробую
Изменение пароля учетной записи Windows Server 2012 с Active Directory
Смена пароля AD
Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory
Для этого откройте «Пуск» -> «Администрирование» -> «Пользователи и компьютеры Active Directory»
В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»
Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля. «
В окне смена пароля,
1. Введите новый пароль (пароль должен быть не меньше 8 символов)
2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.
Если все данные ввели правильно то появится окно об удачной смене пароля
Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory
Срок истечения пароля AD
Откройте «Пуск» -> «Администрирование» -> «Управление групповой политикой»
Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
-> «Домены»
-> «Имя Вашего домена»
-> «Default Domain Policy»
затем в блоке справа выберите вкладку «Параметры».
Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»
В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»
Перед Вами откроется «Редактор управления групповыми политиками»
В этом редакторе, в блоке слева откройте дерево:
«Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»
В блоке справа откройте «Максимальный срок действия пароля 42 дня»
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.
blog.eaglenn.ru | Заметки IT инженера
Microsoft, Linux, Lync и etc……
Настройка политики паролей в Active Directory используя GPO
Самым простым способом настроить требования к политике паролей в Active Directory является использование оснастки mmc «Управление групповой политикой». Для этого нам необходимо на контроллере домена выполнить следующую последовательность действий: Пуск — Администрирование — Управление групповой политикой
Настроить политику паролей в Active Directory можно только в Default Domain Policy. Такова особенность, использование других специально созданных для этого политик вам не поможет, имейте это ввиду.
Выделим Default Domain Policy и нажмем правую кнопку мыши Изменить.
Откроется окно редактора групповой политики по умолчанию. Для внесения изменений в политику паролей необходимо открыть ветку: Конфигурация компьютераПолитикиКонфигурация WindowsПараметры безопасностиПолитики учетных записей
в окне слева вы можете изменить:
- Политику паролей
- Политику блокировки учетной записи
Настройка политики паролей
В данной секции вы можете настроить:
- Журнал паролей
- Максимальный срок действия пароля
- Минимальную длину пароля
- Минимальный срок действия пароля
- Требование к сложности пароля
- Хранить пароли, используя обратное шифрование
Настройка политики блокировки учетной записи
Доступно три варианта настройки блокировки учетной записи и время до сброса блокировки:
- Время до сброса счетчика блокировки
- Пороговое значение блокировки
- Продолжительность блокировки учетной записи
В этой политике есть один скользкий момент. Следует понимать, что если вы используете блокировку учетной записи при ошибке входа в сеть, злоумышленник, используя метод подбора паролей к вашим учетным записям, может заблокировать все аккаунты пользователей и блокировать работу ЛВС. Эту политику нужно использовать осторожно и помнить что она действует на все учетные записи в том числе и системные. Поэтому лучше использовать метод тонкой настройки политики управления паролями, описанный в статье: «Тонкая настройка политики управления паролями в среде Windows»
После внесения изменений в GPO, политики Default Domain Policy, необходимо подождать некоторое время, пока на клиенте произойдет применение изменений GPO. Как правило на клиента политики транслируются раз в четыре часа, на сервера сразу же. Для ускорения применения политик рекомендуется на клиенте используя интерфейс командной строки выполнить gpupdate /force и перезагрузиться.
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory
Как и учетные записи пользователей, учетные записи компьютеров в домене имеют свой пароль. Пароль этот нужен для установления так называемых «доверительных отношений» между рабочей станцией и доменом. Пароли для компьютеров генерируются автоматически и также автоматически каждые 30 дней изменяются.
Домен хранит текущий пароль компьютера, а также предыдущий, на всякий случай . Если пароль изменится дважды, то компьютер, использующий старый пароль, не сможет пройти проверку подлинности в домене и установить безопасное соединение. Рассинхронизация паролей может произойти по разным причинам, например компьютер был восстановлен из резервной копии, на нем была произведена переустановка ОС или он просто был долгое время выключен. В результате при попытке входа в домен нам будет выдано сообщение о том, что не удается установить доверительные отношения с доменом.
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-01
Для восстановления доверительных отношений существует несколько способов. Рассмотрим их все по порядку.
- Способ первый
Открываем оснастку «Active Directory Users and Computers» и находим в ней нужный компьютер. Кликаем на нем правой клавишей мыши и в контекстном меню выбираем пункт «Reset Account». Затем заходим на компьютер под локальной учетной записью и заново вводим его в домен.
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-02
Примечание. Кое где встречаются рекомендации удалить компьютер из домена и заново завести. Это тоже работает, однако при этом компьютер получает новый SID и теряет членство в группах, что может привести к непредсказуемым последствиям.
Способ этот довольно громоздкий и небыстрый, т.к. требует перезагрузки, однако работает в 100% случаев.
- Способ второй
Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:
Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*
где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.
В открывшемся окне вводим учетные данные пользователя и жмем OK. Пароль сброшен и теперь можно зайти на компьютер под доменной учетной записью. Перезагрузка при этом не требуется.
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-03
Что интересно, в рекомендациях по использованию и в справке написано, что команду Netdom Resetpwdможно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.
Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:
Netdom Verify WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
Или сбросить учетную запись компьютера:
Netdom Reset WKS1 /Domain:Contoso.com /UserO:Administrator /PasswordO:*
где WKS1 — рабочая станция, которой сбрасываем учетку.
еще пример для доменной учетки отличную названию Администратор.
C:>netdom resetpwd /server:DC1 /userd:contosoadministrator
/passwordd:P@ssw0rd
Выходим из сессии локального администратора (logoff); Вуаля! Логинимся доменной учетной записью без всяких перезагрузок! Внимание! Ключ PasswordD пишется с ДВУМЯ буковками «D» на конце (что явно подчеркивает, что в команде имя пользователя и пароль указываются именно для ДОМЕННОГО администратора).
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-04
Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).
- Способ третий
Еще одна утилита командной строки — Nltest. На компьютере, который потерял доверие, выполняем следующие команды:
Nltest /query — проверить безопасное соединение с доменом;
Nltest /sc_reset:Contoso.com — сбросить учетную запись компьютера в домене;
Nltest /sc_change_pwd:Contoso.com — изменить пароль компьютера.
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-05
Самый быстрый и доступный способ, ведь утилита Nltest по умолчанию есть на любой рабочей станции или сервере. Однако, в отличие от Netdom, в которой предусмотрен ввод учетных данных, Nltest работает в контексте запустившего ее пользователя. Соответственно, зайдя на компьютер под локальной учетной записью и попытавшись выполнить команду можем получить ошибку доступа.
- Способ четвертый
PowerShell тоже умеет сбрасывать пароль компьютера и восстанавливать безопасное соединение с доменом. Для этого существует командлет Test-ComputerSecureChannel . Запущенный без параметров он выдаст состояние защищенного канала — True или False.
Для сброса учетной записи компьютера и защищенного канала можно использовать такую команду:
где SRV1 — контролер домена (указывать не обязательно).
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-06
Для сброса пароля также можно также воспользоваться такой командой:
Как сбросить пароль учетной записи компьютера и восстановить доверие в Active directory-07
Способ быстрый и удобный, не требующий перезагрузки. Но и здесь есть свои особенности. Ключ -Credential впервые появился в PowerShell 3.0. Без этого параметра командлет, запущенный из под локального пользователя, выдает ошибку доступа.
