Het resetten van wachtwoorden in een domein is niet altijd even eenvoudig, vooral als de grafische gebruikersinterface (GUI) niet meewerkt of als u een reeks resets wilt automatiseren. Misschien merkt u dat de Active Directory Gebruikers en Computers (ADUC) module niet goed laadt, of geeft u gewoon de voorkeur aan de opdrachtregel. De kans is groot dat u snel wachtwoorden moet resetten, en de juiste tools kunnen u veel frustratie besparen. Deze handleiding beschrijft een aantal manieren om dit te doen – via de GUI, PowerShell of zelfs de opdrachtregel – zodat u niet vast komt te zitten. U kunt vrijwel elk gebruikersaccount resetten, de laatste wachtwoordwijzigingen controleren of zelfs bulkupdates uitvoeren indien nodig. De meeste taken vereisen uiteraard beheerdersrechten en soms wat geduld, omdat Windows kieskeurig kan zijn wat betreft wachtwoordcomplexiteit en -rechten. Laten we de verschillende methoden eens bekijken en zien welke het beste bij uw situatie past. Want eerlijk gezegd kunnen de meest stomme dingen je soms in de problemen brengen, zoals vergeten PowerShell als beheerder uit te voeren of niet de juiste delegatierechten hebben. Daarom is het goed om alle opties te kennen.
Hoe u het wachtwoord van een gebruiker in Active Directory kunt resetten
Het wachtwoord van een gebruiker opnieuw instellen via de Active Directory-interface.
Als je de ADUC-module nog steeds beschikbaar hebt, is dit waarschijnlijk de eenvoudigste manier. Je start deze via dsa.msc(typ dit gewoon in Uitvoeren of PowerShell).Zoek vervolgens naar het betreffende gebruikersaccount, waarschijnlijk op naam of sAMAccountName. Klik met de rechtermuisknop op het account en kies Wachtwoord opnieuw instellen. Er verschijnt een klein venster waarin je het nieuwe wachtwoord twee keer kunt invoeren. Hier krijg je opties zoals ‘Gebruiker moet wachtwoord wijzigen bij volgende aanmelding’ (vrij gebruikelijk als je tijdelijke wachtwoorden uitdeelt) of ‘Gebruikersaccount ontgrendelen als het is vergrendeld na mislukte aanmeldpogingen’.Ik weet niet waarom, maar de laatste keer dat ik dit deed, werkte Windows de informatie over de laatste wachtwoordwijziging soms niet bij, tenzij je de gebruikerseigenschappen vernieuwt. Het lastige is dat je de juiste machtigingen nodig hebt, meestal als lid van de groep Domeinbeheerders of Accountbeheerders. Als je gedelegeerde rechten hebt, ga dan naar het tabblad Beveiliging in ADUC, vervolgens naar Geavanceerd en controleer je machtigingen voor Wachtwoord opnieuw instellen. In sommige configuraties moet je mogelijk controleren of je account de juiste rechten heeft in het gedeelte Effectieve toegang. Want Windows moet het natuurlijk net iets ingewikkelder maken dan nodig is.
Wachtwoorden opnieuw instellen met PowerShell
Hier wordt het wat flexibeler, vooral als je automatiseert of met meerdere accounts werkt. De cmdlet die je moet onthouden is Set-ADAccountPassword. Deze maakt deel uit van de Active Directory-module voor Windows PowerShell, die je krijgt met RSAT-tools op desktops of die op servers is geïnstalleerd. Om een gebruikerswachtwoord opnieuw in te stellen, voer je bijvoorbeeld zoiets uit als:
Set-ADAccountPassword jliebert -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "myP@ssw0rd112" -Force) –PassThruMet dit commando wordt een nieuw wachtwoord ingesteld voor gebruiker jliebert en wordt de reset afgedwongen. Ik heb gemerkt dat als het nieuwe wachtwoord niet voldoet aan de complexiteitsregels van het domein (een slim wachtwoordbeleid is van kracht), er een foutmelding verschijnt. Zorg er dus voor dat het wachtwoord aan die vereisten voldoet. Houd er ook rekening mee dat het in één configuratie de eerste keer mislukte, maar na een snelle herstart of opnieuw inloggen wel werkte. Vreemd, maar Windows kan zich soms onvoorspelbaar gedragen.
Als je wilt voorkomen dat wachtwoorden in platte tekst worden opgeslagen, kun je op een veilige manier om het wachtwoord vragen, zoals hieronder weergegeven:
$NewPass = Read-Host "Enter new password" -AsSecureString Set-ADAccountPassword jliebert -Reset -NewPassword $NewPass -PassThruNog een handige tip: om een gebruikersaccount te ontgrendelen, voer je gewoon het commando uit Unlock-ADAccount -Identity jliebert. En als je wilt dat de gebruiker zijn wachtwoord wijzigt bij de volgende aanmelding, gebruik je het commando Set-ADUser -Identity jliebert -ChangePasswordAtLogon $True. Wil je de laatste wachtwoordwijziging controleren? Voer dan het volgende commando uit:
Get-ADUser jliebert -Properties * | select name, pwdLastSetMet dat laatste commando kun je zien wanneer het wachtwoord voor het laatst is gewijzigd. Dat kan handig zijn als je wachtwoordbeleid wilt afdwingen of gewoon wilt controleren of alles nog up-to-date is. Windows is namelijk nogal vaag over dit soort informatie, totdat je er zelf naar op zoek gaat.
Meerdere gebruikerswachtwoorden tegelijk wijzigen in PowerShell
Het één voor één doen is tijdrovend. Gelukkig kan PowerShell een CSV-bestand met gebruikersgegevens gebruiken om resets voor een hele afdeling of team te genereren. Stel dat je een CSV-bestand hebt zoals dit:
sAMAccountName;NewPassword user1;Pa$$w0rd1 user2;N3wP@ssw0rd2 user3;ZxCVb!123Je kunt de gegevens importeren en alles in een lus verwerken:
Import-Csv users.csv -Delimiter ";" | ForEach-Object { $SecurePass = ConvertTo-SecureString $_. NewPassword -AsPlainText -Force Set-ADAccountPassword -Identity $_.sAMAccountName -NewPassword $SecurePass -Reset Set-ADUser -Identity $_.sAMAccountName -ChangePasswordAtLogon $true }Hiermee wordt voor elke gebruiker een wachtwoord ingesteld en moet deze bij de volgende aanmelding een nieuw wachtwoord kiezen. Handig bij een plotselinge wachtwoordreset of bij een beveiligingsprobleem.
Het wachtwoord van een gebruiker wijzigen via de opdrachtregel
Als je geen toegang hebt tot de grafische gebruikersinterface of als PowerShell niet is geconfigureerd, is de klassieke manier om `net user` te gebruiken. Voer dit commando uit net user jliebert /domainom basisinformatie te bekijken. Om het wachtwoord daadwerkelijk te resetten, voer je het volgende commando uit:
net user jliebert /domain *Je wordt dan gevraagd een nieuw wachtwoord in te voeren – zonder gedoe. Het enige nadeel is dat deze methode minder flexibel is en dat je wachtwoorden handmatig moet invoeren. Wees hier dus voorzichtig mee op gedeelde computers of tijdens sessies op afstand.
Hoe achterhaal je wie het wachtwoord van een gebruiker heeft gereset?
Als er een vermoeden bestaat dat iemand herhaaldelijk op de knop voor het opnieuw instellen van het wachtwoord heeft gedrukt, kunt u de controle op gebeurtenissen voor accountbeheer inschakelen. Ga naar gpmc.msc (Group Policy Management Console), bewerk het standaardbeleid voor domeincontrollers en schakel ‘Gebruikersaccountbeheer controleren’ in onder Beveiligingsinstellingen. Hiermee worden gebeurtenissen zoals het opnieuw instellen van wachtwoorden (gebeurtenis-ID 4724) vastgelegd. Filter vervolgens in Logboeken ( eventvwr.msc ) het beveiligingslogboek op deze ID. De gebeurtenisdetails laten zien wie wat heeft gedaan. Soms is het voldoende om de maximale loggrootte te vergroten, omdat de standaardlogboeken van Windows snel vol kunnen raken. U kunt deze controle zelfs automatiseren met PowerShell:
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4724} |...Dit geeft je een lijst van wie wat wanneer heeft gereset, wat van onschatbare waarde kan zijn tijdens beveiligingsonderzoeken of gewoon uit pure nieuwsgierigheid.
Kortom, of het nu via de grafische gebruikersinterface (GUI), PowerShell of de opdrachtregel is, er zijn meerdere manieren om wachtwoorden van domeingebruikers opnieuw in te stellen en te beheren. Houd er wel rekening mee dat machtigingen en beleidsregels sommige acties kunnen blokkeren en dat wachtwoorden moeten voldoen aan de complexiteitsinstellingen van het domeinbeleid. Maar als je deze methoden kent, wordt het een stuk makkelijker als er iets misgaat.
Samenvatting
- Gebruik ADUC voor snelle handmatige resets, als het werkt.
- PowerShell
Set-ADAccountPasswordis geweldig voor scripting en het uitvoeren van bulkresets. - De opdrachtregel
net userwerkt ook als de grafische gebruikersinterface (GUI) niet beschikbaar is. - Auditlogboeken helpen bij het bijhouden van wie wat doet met wachtwoorden.
- Toegangsrechten en wachtwoordbeleid kunnen voor problemen zorgen – controleer die eerst goed.
Samenvatting
Het beheren van wachtwoorden in Active Directory kan eenvoudig zijn als je de juiste tools tot je beschikking hebt. Of je nu liever klikt, scripts gebruikt of de opdrachtregel toepast, er is altijd een manier die bij je past. Houd wel rekening met machtigingen, beleid en het feit dat Windows soms wat lastig kan zijn met updates. Hopelijk geeft dit wat meer duidelijkheid en bespaart het je een hoop kopzorgen. Succes met het resetten van die gebruikersaccounts – ik hoop dat dit helpt!