Active directory смена пароля пользователя

В этой статье описано, как отслеживать события блокировки учетных записей пользователей на котроллерах домена Active Directory, определять с какого компьютера и из какой конкретно программы выполняется постоянная блокировка. Рассмотрим использование для поиска источника блокировки журнала безопасности Windows и скриптов PowerShell.

Принцип работы

Каждый день по крону на Linux машине стартует скрипт, который логинится на контроллер домена и проверяет пароли пользователей на истечение их срока действия. Чекаются только активные пользователи с истекающими паролями. Если пароль истекает менее, чем через 15 дней включительно, то шлется письмо на ящик этого пользователя, указанный в AD. Письма будут отсылаться каждый день, пока пароль не будет изменен или не истечет. Когда пароль истек, то по тому же принципу отсылается письмо о просрочке.

Просто

Политики блокировки учетных записей в домене

Политики блокировки учетных записей обычно задается сразу для всего домена политикой Default Domain Policy. Интересующие нас политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Account Policy -> Account Lockout Policy (Конфигурация Windows -> Параметры безопасности -> Политики учетных записей -> Политики блокировки учетных записей). Это политикии:

  • Account lockout threshold  (Пороговое значение блокировки) – через сколько неудачных попыток набора пароля учетная запись должна быть заблокирована
  • Account lockout duration (Продолжительность блокировки учетной записи) – на какое время будет заблокирована учетная запись (по истечении этого времени блокировка будет снята автоматически)
  • Reset account lockout counter after (Время до сброса счетчика блокировки)– через какое время будет сброшен счетчик неудачных попыток авторизации
Политики блокировки учетных записей в домене

Совет. Вручную снять блокировку учетной записи, не дожидаясь автоматической разблокировки, можно с помощью консоли ADUC . Для этого в  свойствах учетной записи пользователя на вкладке Account, поставив чекбокс на Unlock account. This account is currently locked out on this Active Directory Domain Controller.

Читайте также:  Где скачать официальную версию Windows 10?

Довольно полезную информацию о времени блокировки, задания пароля, количестве попыток набора пароля и прочее можно получить в свойствах учетной записи в консоль ADSIEdit или на дополнительной вкладке Additional Account Info в свойствах пользователя (проще).

Ситуации, когда пользователь забыл свой пароль и сам вызвал блокировку своей учетки случаются довольно часто. Но в некоторых случаях блокировка учеток происходит неожиданно, без каких-либо видимых причин.  Т.е. пользоваться «клянется», что ничего особого не делал, не разу не ошибался при вводе пароля, но его учетная запись почему-то заблокировалась. Администратор по просьбе пользователя может вручную снять блокировку, но через некоторое время ситуация повторяется.

Для того, чтобы решить проблему пользователя администратору нужно разобраться с какого компьютера и какой программой была заблокирована учетная запись пользователя в Active Directory.

Политики блокировки учетных записей в домене

Способ второй

Заходим на компьютер, которому требуется сбросить пароль, открываем командную консоль обязательно от имени администратора и вводим команду:

Netdom Resetpwd /Server:SRV1 /UserD:Administrator /PasswordD:*

где SRV1 — контролер домена, Administrator — административная учетная запись в домене. Дополнительно можно указать параметр /SecurePasswordPrompt, который указывает выводить запрос пароля в специальной форме.

Что интересно, в рекомендациях  по использованию и в справке написано, что команду Netdom Resetpwd можно использовать только для сброса пароля на контролере домена, другие варианты использования не поддерживаются. Однако это не так, и команда также успешно сбрасывает пароль на рядовых серверах и рабочих станциях.

Еще с помощью Netdom можно проверить наличие безопасного соединения с доменом:

Способ второй

Netdom Verify WKS1 /Domain: /UserO:Administrator /PasswordO:*

Или сбросить учетную запись компьютера:

Netdom Reset WKS1 /Domain: /UserO:Administrator /PasswordO:*

где WKS1 — рабочая станция, которой сбрасываем учетку.

Способ достаточно быстрый и действенный, однако есть одно но: по умолчанию утилита Netdom есть только на серверах с установленной ролью  Active Directory Domain Services (AD DS). На клиентских машинах она доступна как часть пакета удаленного администрирования Remote Server Administration Tools (RSAT).

Читайте также:  3 варианта отключить экран приветствия в Windows 10

Перенос групповых политик

Для нормальной работы моего сервера также необходимо было перенести настройки групповых политик (GPO). На старом домене запускаем консоль . Раскрываем домен, выбираем Объекты групповой политики, в содержимом отмечаем те политики, что собираемся переносить и правой кнопкой мыши вызываем меню. Выбираем Архивировать….

Архивирование групповых политик через

Далее указываем путь, куда будем выгружать политики. Если у вас более одной политики, то лучше под это создать отдельную директорию, так как под каждую политику будет создаваться новый каталог.

Указываем расположение архива

Копируем их в новый домен, но домен то у нас новый, а резервная копия может содержать упоминания или ссылки на ресурсы старого домена. Поправить значения можно при помощи утилиты Migration Table Editor (). Опять-таки штатный софт на борту MS Windows Server. На новом домене запускаем консоль и на Объекты групповой политики правой кнопкой мыши вызываем меню, выбираем Открыть редактор таблиц миграции.

Вызов редактора таблиц миграции

После выбираем Сервис / Заполнить из резервной копии, указываем путь к каталогу. Перед нами откроется таблица со списком всех экспортированных групповых политик.

Список групповых политик из резервной копии

Нажимаем OK и перед нами откроется список всех нестандартных атрибутов политик. Ищем где упоминается старый домен и правой кнопкой меняем на правильный атрибут из нашего нового домена

Меняем атрибуты старого домена под новый

Все приготовления закончены, теперь дело за малым — выполнить импорт. Открываем , создаём новую пустую политику в которую будем импортировать настройки и по правому клику мыши из меню выбираем Импорт параметров…. Идём далее, выбираем папку архива, выбираем соответствующий объект групповой политики, Готово!

Вот и всё, осталось ввести машины в новый домен.

Читайте также:  Инструкция по преобразованию стиля GPT в MBR

Чтобы сбросить локальный пароль учетной записи пользователя

  1. Откройте окно «Управление компьютером».

В дереве консоли дважды щелкните компонент Локальные пользователи и группы.

Расположение

    Управление компьютером (локальным)/Служебные программы/Локальные пользователи и группы

В дереве консоли щелкните узел Пользователи.

В области сведений щелкните правой кнопкой мыши имя пользователя и выберите команду Установка пароля.

Прочтите предупреждающее сообщение и, если решили продолжать, нажмите кнопку Продолжить.

Введите новый пароль в поля Новый пароль и Подтверждение пароля, а затем нажмите кнопку OK.

Примечания

    Для выполнения данной процедуры необходимо быть членом группы "Администраторы" на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы "Администраторы домена". По соображениям безопасности для выполнения этой процедуры рекомендуется использовать команду "Запуск от имени".

Чтобы открыть управление компьютером, нажмите кнопку Пуск, выберите Панель управления, дважды щелкните Администрирование, а затем Управление компьютером.