So setzen Sie ein Benutzerkennwort in Active Directory zurück

Das Zurücksetzen von Passwörtern in einer Domäne ist nicht immer einfach, insbesondere wenn die grafische Benutzeroberfläche (GUI) nicht mitspielt oder Sie viele Zurücksetzungen automatisieren möchten. Vielleicht haben Sie festgestellt, dass das Snap-In „Active Directory-Benutzer und -Computer“ (ADUC) nicht korrekt geladen wird, oder Sie bevorzugen einfach die Befehlszeile. Es ist gut möglich, dass Sie schnell Passwörter zurücksetzen müssen, und die Kenntnis der richtigen Tools kann Ihnen viel Ärger ersparen. Dieser Leitfaden beschreibt verschiedene Methoden – ob über die GUI, PowerShell oder die Befehlszeile –, damit Sie nicht feststecken. Sie können nahezu jedes Benutzerkonto zurücksetzen, die letzten Passwortänderungen überprüfen oder bei Bedarf sogar Massenaktualisierungen durchführen. Die meisten Aufgaben erfordern Administratorrechte und manchmal etwas Geduld, da Windows bei der Passwortkomplexität und den Berechtigungen wählerisch sein kann. Sehen wir uns die verschiedenen Methoden genauer an und finden wir heraus, welche für Ihre Situation am besten geeignet ist. Denn ehrlich gesagt, manchmal können einen die dümmsten Dinge in Schwierigkeiten bringen – wie zum Beispiel zu vergessen, PowerShell als Administrator auszuführen oder nicht über die richtigen Delegierungsberechtigungen zu verfügen – deshalb ist es gut, alle Optionen zu kennen.

So setzen Sie das Passwort eines Benutzers in Active Directory zurück

Zurücksetzen des Benutzerkennworts über die Active Directory-Benutzeroberfläche

Wenn Sie das ADUC-Snap-In noch haben, ist das wahrscheinlich der einfachste Weg. Sie starten es über die Eingabeaufforderung dsa.msc(einfach in „Ausführen“ oder PowerShell eingeben).Suchen Sie im Snap-In nach dem betreffenden Benutzerkonto – wahrscheinlich anhand des Namens oder des sAMAccountName. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie „Kennwort zurücksetzen“. Es öffnet sich ein kleines Fenster, in dem Sie das neue Kennwort zweimal eingeben. Hier finden Sie Optionen wie „ Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ (häufig erforderlich, wenn Sie temporäre Kennwörter vergeben) oder „ Benutzerkonto entsperren, falls es nach fehlgeschlagenen Anmeldeversuchen gesperrt wurde“.Ich bin mir nicht sicher, warum, aber beim letzten Mal hat Windows die Informationen zur letzten Kennwortänderung manchmal erst aktualisiert, nachdem man die Benutzereigenschaften aktualisiert hat. Der Haken: Sie benötigen Berechtigungen – in der Regel die Mitgliedschaft in den Gruppen „Domänen-Admins“ oder „Kontoadministratoren“. Wenn Sie über delegierte Rechte verfügen, verwenden Sie die Registerkarte „Sicherheit“ in ADUC, gehen Sie zu „Erweitert“ und überprüfen Sie Ihre Berechtigungen zum Zurücksetzen des Kennworts. Bei manchen Konfigurationen müssen Sie möglicherweise im Abschnitt „Effektiver Zugriff“ überprüfen, ob Ihr Konto die Berechtigung hat. Denn natürlich muss Windows es etwas komplizierter machen, als es eigentlich sein sollte.

Passwörter mit PowerShell zurücksetzen

Hier wird es etwas flexibler, insbesondere bei der Automatisierung oder der Bearbeitung mehrerer Konten. Das zu merkende Cmdlet lautet „ Set-ADAccountPassword“. Es ist Teil des Active Directory-Moduls für Windows PowerShell, das mit den RSAT-Tools auf Desktop-PCs bereitgestellt oder auf Servern installiert ist. Um ein Benutzerkennwort zurückzusetzen, führen Sie beispielsweise folgenden Befehl aus:

Set-ADAccountPassword jliebert -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "myP@ssw0rd112" -Force) –PassThru

Dieser Befehl setzt ein neues Passwort für den Benutzer jliebert und erzwingt dessen Zurücksetzung. Mir ist aufgefallen, dass es zu Problemen kommt, wenn das neue Passwort nicht den Komplexitätsregeln der Domäne entspricht (z. B.einer intelligenten Passwortrichtlinie).Stellen Sie daher sicher, dass das Passwort diese Anforderungen erfüllt. Beachten Sie außerdem, dass es bei einer Konfiguration beim ersten Mal fehlschlug, nach einem Neustart oder einer erneuten Anmeldung aber funktionierte. Seltsam, aber Windows kann sich manchmal merkwürdig verhalten.

Wenn Sie vermeiden möchten, dass Passwörter im Klartext gespeichert werden, können Sie das Passwort auf sichere Weise abfragen, etwa so:

$NewPass = Read-Host "Enter new password" -AsSecureString Set-ADAccountPassword jliebert -Reset -NewPassword $NewPass -PassThru

Ein weiterer praktischer Tipp: Um ein Benutzerkonto zu entsperren, führen Sie einfach folgenden Befehl aus: [Befehl einfügen Unlock-ADAccount -Identity jliebert].Und wenn der Benutzer sein Passwort beim nächsten Login ändern soll, verwenden Sie Set-ADUser -Identity jliebert -ChangePasswordAtLogon $True: [Befehl einfügen].Letzte Passwortänderung überprüfen? Führen Sie einfach folgenden Befehl aus: [Befehl einfügen].

Get-ADUser jliebert -Properties * | select name, pwdLastSet

Der letzte Befehl zeigt Ihnen an, wann das Passwort zuletzt geändert wurde – manchmal hilfreich, wenn Sie Passwortrichtlinien durchsetzen oder einfach nur überprüfen möchten, ob alles auf dem neuesten Stand ist. Denn Windows hält sich mit diesen Informationen gerne bedeckt, bis man genauer danach sucht.

Massenhaftes Ändern mehrerer Benutzerpasswörter in PowerShell

Die manuelle Bearbeitung ist langsam. Glücklicherweise kann PowerShell eine CSV-Datei mit Benutzerinformationen verarbeiten und im Handumdrehen die Resets für eine ganze Abteilung oder ein Team generieren. Angenommen, Sie haben eine CSV-Datei wie diese:

sAMAccountName;NewPassword user1;Pa$$w0rd1 user2;N3wP@ssw0rd2 user3;ZxCVb!123

Sie können die Daten importieren und alles in einer Schleife verarbeiten:

Import-Csv users.csv -Delimiter ";" | ForEach-Object { $SecurePass = ConvertTo-SecureString $_. NewPassword -AsPlainText -Force Set-ADAccountPassword -Identity $_.sAMAccountName -NewPassword $SecurePass -Reset Set-ADUser -Identity $_.sAMAccountName -ChangePasswordAtLogon $true }

Dadurch wird das Passwort jedes Benutzers festgelegt und er wird gezwungen, beim nächsten Anmelden ein neues zu wählen. Nützlich bei plötzlichen Passwortänderungen oder Sicherheitsvorfällen.

Ändern des Benutzerpassworts über die Befehlszeile

Wenn Sie nicht auf die grafische Benutzeroberfläche zugreifen können oder PowerShell nicht konfiguriert ist, verwenden Sie den klassischen Befehl ` net user`. Führen Sie diesen aus net user jliebert /domain, um grundlegende Informationen anzuzeigen. Um das Passwort zurückzusetzen, führen Sie einfach folgenden Befehl aus:

net user jliebert /domain *

Sie werden aufgefordert, ein neues Passwort einzugeben – ganz unkompliziert. Der einzige Nachteil ist, dass diese Methode weniger flexibel ist und die interaktive Eingabe von Passwörtern erfordert. Seien Sie daher vorsichtig bei gemeinsam genutzten Rechnern oder Remote-Sitzungen.

Wie man herausfindet, wer das Passwort eines Benutzers zurückgesetzt hat

Besteht der Verdacht, dass jemand wiederholt die Kennwortzurücksetzungstaste gedrückt hat, können Sie die Überwachung von Kontoverwaltungsereignissen aktivieren.Öffnen Sie dazu die Gruppenrichtlinienverwaltungskonsole ( gpmc.msc ), bearbeiten Sie die Standarddomänencontrollerrichtlinie und aktivieren Sie unter „Sicherheitseinstellungen“ die Option „Überwachung der Benutzerkontenverwaltung“. Dadurch werden Ereignisse wie Kennwortzurücksetzungen (Ereignis-ID 4724) protokolliert. Filtern Sie anschließend in der Ereignisanzeige ( eventvwr.msc ) das Sicherheitsprotokoll nach dieser ID. Die Ereignisdetails geben Aufschluss darüber, wer welche Aktionen durchgeführt hat. Manchmal genügt es, die maximale Protokollgröße zu erhöhen, da die Windows-Standardprotokolle schnell voll werden können. Sie können diese Überwachung sogar mit PowerShell automatisieren.

Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724} |...

Dadurch erhalten Sie eine Liste, wer was wann zurückgesetzt hat, was bei Sicherheitsuntersuchungen oder einfach aus reiner Neugierde lebensrettend sein kann.

Zusammenfassend lässt sich sagen, dass es mehrere Möglichkeiten gibt, Domänenbenutzerkennwörter zurückzusetzen und zu verwalten – ob über die grafische Benutzeroberfläche, PowerShell oder die Befehlszeile. Beachten Sie jedoch, dass Berechtigungen und Richtlinien bestimmte Aktionen blockieren können und Kennwörter den Komplexitätsanforderungen der Domänenrichtlinien entsprechen müssen. Die Kenntnis dieser Methoden erleichtert Ihnen die Arbeit jedoch erheblich, falls Probleme auftreten.

Zusammenfassung

  • Verwenden Sie ADUC für schnelle manuelle Resets, falls es funktioniert.
  • PowerShell Set-ADAccountPasswordeignet sich hervorragend für Skripte und Massenresets.
  • Die Kommandozeile net userfunktioniert, wenn keine grafische Benutzeroberfläche verfügbar ist.
  • Audit-Logs helfen dabei, nachzuverfolgen, wer was mit Passwörtern macht.
  • Berechtigungen und Passwortrichtlinien können einem zum Verhängnis werden – überprüfen Sie diese daher zuerst.

Zusammenfassung

Die Verwaltung von Passwörtern in Active Directory kann ganz einfach sein, sobald man die richtigen Tools zur Hand hat. Ob Sie lieber per Mausklick, Skript oder Kommandozeile vorgehen – es gibt für jeden Bedarf die passende Methode. Beachten Sie dabei jedoch Berechtigungen, Richtlinien und die gelegentlichen Probleme von Windows bei Updates. Hoffentlich hilft Ihnen dieser Beitrag weiter und erspart Ihnen einige Schwierigkeiten. Viel Erfolg beim Zurücksetzen der Benutzerkonten – ich drücke Ihnen die Daumen!