przykładowy scenariusz:
dostęp do sieci klienta via VPN. nie ma możliwości zmiany hasła podczas połączenia VPN, ponieważ to niekoszerne rozwiązanie. hasło wygasło. inny pracownik ma swoje konto nadal aktywne – czy da się zmienić szybko hasło, zamiast czekać aż helpdesk przetrawi ticket?
dostępne opcje(, które raczej nie zadziałają):
- połączyć się RDP do DC. w przeciwieństwie do połączenia do member servera, podczas połączenia do DC jest możliwość zmiany wygasłego hasła. warunek jest taki, że trzeba mieć uprawnienia do logowania na DC, czyli zazwyczaj – być Domain Adminem.
- w starym wpisie na stronach Technet znajdujemy opis, że można zmienić hasło przy pomocy 'net user * /domain’. jest to niekompetencja osoby piszącej KB, ponieważ nie odróżnia ona 'reset password’ od 'change password’. przy pomocy net user można hasło wyłącznie zresetować, co wiąże się z posiadaniem odpowiednich uprawnień do konta, na którym wykonuje się operację. dalszy opis w tym KB jest również bzdurą, ponieważ uprawnienia domain admina nie są wymagane – można to skonfigurować nawet dla pojedynczych kont.
rozwiązanie
jest oczywiście sposób skuteczny, działający i niewymagający żadnych specjalnych uprawnień. i oczywiście przy pomocy PowerShell, a konkretnie commandleta Set-ADAccountPassword:
Set-ADAccountPassword -Identity <user-with-expired-password> -OldPassword (ConvertTo-SecureString -AsPlainText "OLDPASSWORD" -Force) -NewPassword (ConvertTo-SecureString -AsPlainText "NEWPASSWORD" -Force)
sprawdzałem dla PS 2.o i wystarczy.
eN.