Смена пароля AD
Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory
Для этого откройте «Пуск» -> «Администрирование» -> «Пользователи и компьютеры Active Directory»
В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»
Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля…»
В окне смена пароля,
1. Введите новый пароль (пароль должен быть не меньше 8 символов)
2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.
Нажмите «ОК»
Если все данные ввели правильно то появится окно об удачной смене пароля
Готово
Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory
Срок истечения пароля AD
Откройте «Пуск» -> «Администрирование» -> «Управление групповой политикой»
Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
-> «Домены»
-> «Имя Вашего домена»
-> «Default Domain Policy»
затем в блоке справа выберите вкладку «Параметры».
Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»
В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»
Перед Вами откроется «Редактор управления групповыми политиками»
В этом редакторе, в блоке слева откройте дерево:
«Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»
В блоке справа откройте «Максимальный срок действия пароля 42 дня»
В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.
И нажмите кнопку «Применить» , готово.
Изменение пароля у доменной корпоративной учетной записи
С помощью следующих способов можно изменить пароль только у учетных записей, от которых известен текущий пароль.
Если срок действия Вашего пароля ещё не истек:
- Если Ваш рабочий компьютер работает под управлением ОС семейства Windows и является членом домена at.urfu.ru, то Вам требуется воспользоваться первым способом.
- Если Ваш рабочий компьютер не является членом домена at.urfu.ru, то Вам требуется воспользоваться вторым способом.
Если срок действия Вашего пароля уже истек:
- Если Ваш рабочий компьютер работает под управлением ОС семейства Windows и является членом домена at.urfu.ru, то при очередной загрузке компьютера форма смены пароля откроется автоматически. Можете сразу переходить к пункту 6 Способа 1.
- Если Ваш рабочий компьютер не является членом домена at.urfu.ru, то Вам требуется воспользоваться вторым способом. С одним замечанием: при входе в «Профиль пользователя», сразу после ввода текущего логина-пароля, диалоговое окно смены пароля откроется автоматически, значит пункт 3 Способа 2 Вы можете пропустить.
Способ 1.
- Включите компьютер.
- После загрузки Windows, введите логин и пароль учетной записи, у которой хотите сменить пароль.
- Откроется рабочий стол Windows пользователя, соответствующего этой учетной записи.
- Нажмите одновременно три кнопки на клавиатуре Ctrl, Alt и Delete.
- Выберите пункт «Изменить пароль». В различных версиях ОС Windows этот пункт может называться по-другому: «Сменить пароль пользователя», «Смена пароля».
- Откроется форма смены пароля. В первое поле нужно вписать старый пароль текущей учетной записи.
- Во второе поле нужно вписать новый(желаемый) пароль. Пароль должен соответствовать минимальным требованиям к паролям учетных записей в домене.
- В третье поле нужно вписать новый пароль, т.е. то что Вы вписали во второе поле.
- После заполнения полей нажмите на клавиатуре клавишу «Enter».
- Будет выдано информационное сообщение об успешности изменения пароля. Старый пароль больше не действителен, после следующей перезагрузке компьютера, для входа нужно использовать новый пароль.
Способ 2.
- Зайдите на сайт самообслуживания, в «Профиль пользователя»: https://id.urfu.ru/ProfileManagement/Profile .
- Введите логин и пароль учетной записи, у которой хотите сменить пароль.
- Откроется профиль пользователя. Нажмите на ссылку смена пароля.
- Откроется диалоговое окно смены пароля.
- В поле «старый пароль» впишите текущий пароль от учетной записи.
- В поле «новый пароль» впишите новый(желаемый) пароль. Пароль должен соответствовать минимальным требованиям к паролям учетных записей в домене.
- В поле «подтверждение пароля» впишите новый пароль, т.е. то что Вы вписали в поле «Новый пароль».
- Нажмите «Изменить».
- Откроется страница «Профиль пользователя». Это значит, Ваш текущий пароль сменен на новый. Старый пароль больше не действителен. Для входа в корпоративные системы используйте новый пароль.
- Если Вы используете Outlook для подключения к корпоративной почте, то после смены пароля Outlook, возможно, запросит ввести новый пароль. При следующем запуске Outlook, будет выведено диалоговое окно, в которое надо ввести Ваши логин и новый пароль. После установки галочки «Запомнить пароль», Outlook больше не будет выводить это диалоговое окно.
Приложение 1
Минимальные требования к паролям учетных записей в домене
~14 кБ, *.docx
(Размещен
25.02.2016)
В этой статье мы рассмотрим, как изменить (сбросить) пароль одного или нескольких пользователей Active Directory с помощью графической оснастки Active Directory Users and Computers, из командной строки, а также с помощью PowerShell командлета Set-ADAccountPassword.
Содержание:
- Изменить пароль пользователя домена из графической консоли Active Directory
- Как сбросить пароль пользователю Active Directory с помощью PowerShell?
- PowerShell скрипт для сброса пароля нескольких пользователей AD
- Изменить пароль пользователя в домене из командной строки
Изменить пароль пользователя домена из графической консоли Active Directory
Для сброса пароля пользователя Active Directory можно использовать графическую оснастку
dsa.msc
(Active Directory Users & Computers — ADUC). Воспользуйтесь поиском в консоли ADUC и найдите учетную запись пользователя, которому нужно изменить пароль. Щелкните по нему правой кнопкой и выберите пункт “Смена пароля” (Reset password).
Укажите новый пароль (дважды). Здесь можно включить две опции:
- User must change password at next logon – если вы хотите, чтобы пользователь сам задал себе новый пароль при следующем входе;
- Unlock user’s account – включите эту опцию, если вы хотите разблокировать пользователя (если учетная запись заблокирована политикой безопасности AD из-за многократных попыток входа с неверным паролем).
Это самый просто и интуитивно понятный способ сброса пароля пользователя домена.
Также в свойствах пользователя на вкладке редактора атрибутов AD вы можете найти информацию о дате последней смены пароля. Это значение хранится в атрибуте пользователя pwdLastSet.
Для сброса пароля ваша учетной запись должна обладать соответствующими правами. По-умолчанию обычные пользователи AD не могут сбросить пароль других аккаунтов. Такие права есть только у учетных записей с правами администратора домена (Domain Admins), или Account Operators. Вы можете предоставить другим группам пользователям право на сброс паролей в определенных OU с помощью делегирования. По ссылке доступен пример делегирования прав на сброс паролей и разблокировку пользователей группе HelpDesk.
Чтобы проверить, что у вашей учетной записи есть право на сброс пароля определенного пользователя, откройте его свойства, перейдите на вкладку Security -> Advanced -> Effective Access -> укажите имя своей учетной записи -> убедитесь, что у вас есть разрешение Reset Password.
Как сбросить пароль пользователю Active Directory с помощью PowerShell?
Вы можете использовать команды PowerShell для сброса пароля пользователя в AD. Для этого можно использовать используется командлет Set-ADAccountPassword, входящий в модуль Active Directory для Windows PowerShell (в десктопых версиях Windows он входит в состав RSAT, а в серверных редакциях устанавливается в виде отдельного компонента AD DS Snap-Ins and Command-Line Tools). Перед использованием модуля его необходимо импортировать в сессию PowerShell:
Import-module ActiveDirectory
Чтобы сбросить пароль для пользователя dakimov и установить новый пароль [email protected], выполните команду:
Set-ADAccountPassword dakimov -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “[email protected]” -Force -Verbose) –PassThru
alert]Для автоматической генерации сложный паролей пользователям вы можете использовать метод GeneratePassword, описанный в статье Генерация случайных паролей с помощью PowerShell. [/alert]
По умолчанию командлет возвращает объект и ничего не отображает в консоли. Чтобы вывести информацию об объекте пользователя в AD мы используем параметр –PassThru.
В качестве имени пользователя можно указать sAMAccountName (как в нашем случае), objectGUID, SID пользователя, или его DN (Distinguished Name, например CN=Akimov,OU=Users,DC=winitpro,DC=ru).
Если при смене пароля пользователя не указывать параметр –Reset, необходимо указать старый и новый пароль учетной записи.
Примечание. Если при сбросе пароля с помощью командлета Set-ADAccountPassword появляется ошибка:
Set-ADAccountPassword : The password does not meet the length, complexity, or history requirement of the domain.
Это означает что, новый пароль не соответствует требования сложности, длины и т.д., заданным в доменной политике паролей или гранулированной политике паролей, действующей на учетную запись пользователя.
Результирующие настройки парольной политики пользователя в домене можно вывести так:
Get-ADUserResultantPasswordPolicy -Identity a.novak
Если у вас включено ведение истории PowerShell команд, и вы не хотите, чтобы пароли в открытом виде сохранялись в сессии PoSh, пароль как и при создании пользователя нужно преобразовать в безопасную строку (подробнее о защите паролей в скриптах PowerShell здесь):
$NewPasswd=Read-Host "Введите новый пароль пользователя" –AsSecureString
Теперь можно задать новый пароль пользователю:
Set-ADAccountPassword dakimov -Reset –NewPassword $NewPasswd –PassThru
При сбросе пароля можно принудительно снять блокировку ученой записи, если она была заблокирована ранее (как найти с какого компьютера блокируется учетная запись, смотрите в статье Поиск источника блокировки пользователя в Active Directory):
Unlock-ADAccount –Identity dakimov
Чтобы пользователь при следующем входе в домен самостоятельно сменил данный пароль на новый, нужно изменить его свойства в AD, выполнив команду:
Set-ADUser -Identity dakimov -ChangePasswordAtLogon $true
Вы можете совместить в одной строке команду смены пароля и включение требования сменить пароль (атрибут userAccountControl):
Set-ADAccountPassword dakimov -NewPassword $NewPasswd -Reset -PassThru | Set-ADuser -ChangePasswordAtLogon $True
С помощью командлета Get-ADUser вы можете убедиться, что пароль сброшен успешно. Выведите время последней смены пароля аккаунта:
Get-ADUser dakimov -Properties * | select name, pass*
При сбросе пароля на контроллере домена (DC) регистрируется событие EventID 4724. Это событие помогает определить учетную запись, которая выполнила сброс пароля пользователя.
Вы можете узнать, когда истекает срок действия пароля пользователя согласно текущим настройкам политики паролей с помощью PowerShell команды:
Get-ADUser -Identity avivanov -Properties msDS-UserPasswordExpiryTimeComputed | select-object @{Name="ExpirationDate";Expression= {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed") }}
PowerShell скрипт для сброса пароля нескольких пользователей AD
Выше мы показали, как из PowerShell сбросить пароль одного пользователя в AD. Рассмотрим теперь другой сценарий – когда вам нужно сменить пароли сразу нескольких пользователей.
Например, вы хотите сбросить пароль всем сотрудникам департамента Sales на одинаковый и заставить сменить его при следующем входе. Вы можете использовать параметр –Filter для выбора пользователей с определенным значением в одном из атрибутов:
get-aduser -filter "department -eq 'Sales Dept' -AND enabled -eq 'True'" | Set-ADAccountPassword -NewPassword $NewPasswd -Reset -PassThru | Set-ADuser -ChangePasswordAtLogon $True
Рассмотрим еще один пример. Допустим, у вас есть CSV/Excel файл, в котором содержится список пользователей, которым нужно сбросить пароли и уникальный пароль для каждого пользователя. Формат файла users.csv:
sAMAccountName;NewPassword aivanov;PaSSde0r1 bpetrov;New$isde01 ssidorov;[email protected]!223
С помощью следующего скрипта PowerShell можно сбросить пароль для каждой учетной записи пользователя из CSV файла:
Import-Csv users.csv -Delimiter ";" | Foreach {
$NewPass = ConvertTo-SecureString -AsPlainText $_.NewPassword -Force
Set-ADAccountPassword -Identity $_.sAMAccountName -NewPassword $NewPass -Reset -PassThru | Set-ADUser -ChangePasswordAtLogon $false
}
После выполнения данного кода всем пользователям в файле будет установлен новый уникальный пароль.
Изменить пароль пользователя в домене из командной строки
Если на компьютере не установлена консоль ADUC, или модуль RSAT-AD-PowerShell, вы можете использовать консольную команду net use для сброса пароля. Чтобы получить информацию о пользователе в домене, выполните команду:
net user a.novak /domain
В командной строке показана базовая информацию о пароле пользователя в домене:
Password last set 4/20/2022 2:10:05 AM Password expires Never Password changeable 4/21/2022 2:10:05 AM Password required Yes User may change password Yes Last logon 4/20/2022 2:58:47 AM Logon hours allowed All
Из значения Last Logon можно узнать, когда пользователь входит в домен последний раз. Чтобы получить более подробную информацию об истории входа пользователя в домен, смотри статью.
Чтобы сбросит пароль этого пользователя, выполните команду:
net user a.novak /domain *
Укажите новый пароль и подтвердите его:
Type a password for the user: xx Retype the password to confirm: xx The command completed successfully.
Содержание
- Смена пароля на компьютере windows 10 в домене
- Задача по смене пароля локального администратора в домене
- Скрипт PowerShell по изменению пароля локальной учетной записи на удаленном компьютере
- Подготовка файла со списком серверов
- Скрипт для массовой смены пароля у локального администратора для PowerShell 5.1 и ниже
- Скрипт для массовой смены пароля у локального администратора для PowerShell 5.1 и выше
- Пароль Windows 10: поставить, изменить, убрать и сбросить
- Как работать с паролями в Windows 10
- Как поставить пароль на Windows 10
- Контрольные вопросы Windows 10
- Как изменить пароль Windows 10
- Убрать пароль при входе в Windows 10
- Сброс пароля Windows 10
- Командная строка Windows 10: как поставить, изменить или сбросить пароль
- Список команд:
- Забыт пароль Windows 10
- Этапы сброса пароля Windows 10:
- Способы смены пароля учётной записи пользователя в RDP-сессии
Смена пароля на компьютере windows 10 в домене
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В минувшей статье я вам подробно осветил методы «как разархивировать файл» в операционных системах Windows или Linux. Сегодня я вам хочу показать очень удобный скрипт на PowerShell. который позволит вам изменить пароль локальной учетной записи на компьютерах в домене Active Directory. Уверен, что данная задача. хоть раз в год у вас и появляется. а по правильному лучше это проделывать хотя бы раз в пол года, в целях повышения безопасности.
Задача по смене пароля локального администратора в домене
Представим простую ситуацию. У вас есть домен Active Directory в котором 50 и более компьютеров. На каждом из них есть локальная учетная запись администратора, используется она чаще всего для второй линии, чтобы производить обслуживание рабочих станций. Вам потребовалось сменить пароль для учетной записи «Администратор», как быть, вы же не будите бегать и ручками все менять.
Ранее во времена Windows Server 2008R2, можно было легко обновить пароль локального администратора с помощью групповых политик, я об этом рассказывал, но в следующих версиях Windows Server 2012 R2 и выше, уже данная опция не доступна, кнопки просто неактивны.
Не знаю, с какой целью Microsoft убрала данную возможность, очень странный ход, поэтому пойдем другим путем. Мы напишем простой скрипт на PowerShell, который возьмет список DNS-имен серверов и на каждом из них он поменяет пароль для нужной нам локальной учетной записи.
Скрипт PowerShell по изменению пароля локальной учетной записи на удаленном компьютере
Для того, чтобы наш скрипт нормально отработал нам нужно выполнить некоторые требования:
Подготовка файла со списком серверов
Скрипт для массовой смены пароля у локального администратора для PowerShell 5.1 и ниже
Я уверен, что на серверах из списка вы администратор. Я для примера буду производить смену пароля у локальной учетной записи «Администратор«, хотя по хорошему вы ее должны переименовать или отключить вообще, создав другую. Откройте PowerShell ISE и скопируйте скрипт.
# Задаем месторасположение нашего файла со списком серверов
#Устанавливаем новый пароль
$adminPassword = «123456A@»
#задаем какую учетную запись мы будим изменять
$adminUser = [ADSI] «WinNT://$computerName/Администратор»
$adminUser.SetPassword($adminPassword)
>
Можно использовать еще вот такой вариант для списка:
$user = [adsi]»WinNT://$computer/$($credential.GetNetworkCredential().Username),user»;
$user.SetPassword($credential.GetNetworkCredential().Password);
$user.SetInfo();
>
Else
<
Write-Warning «Компьютер не отвечает.»;
>
>
Или вариант для одного компьютера
Скрипт для массовой смены пароля у локального администратора для PowerShell 5.1 и выше
В Windows 10 build 1607 и выше, новый Powershell 5.1 представил Set-LocalUser командлет. Вы можете использовать его для этой задачи вместо адаптера ADSI, но для этого требуется, чтобы на удаленных компьютерах была включена служба удаленного взаимодействия Powershell (которая по умолчанию отключена). Чтобы разрешить прием удаленных команд, вам необходимо запустить run Enable-PSRemoting в терминале Powershell с повышенными привилегиями на удаленном компьютере.
Если удаленное взаимодействие PS включено, измененный сценарий будет выглядеть следующим образом:
<
Write-Warning «Компьютер не отвечает на Ping.»;
>
>
Источник
Пароль Windows 10: поставить, изменить, убрать и сбросить
Пароль Windows 10 — это пароль учетной записи пользователя, который вводят при входе в Windows 10, является превентивной мерой защиты конфиденциальной информации или результатов работы пользователя. Существует множество ситуаций, при которых, на одном компьютере (ноутбуке) могут работать несколько человек. Windows 10 позволяет не только создавать дополнительные учётные записи, но и назначать им пароли.
Поставить, изменить или убрать/сбросить пароль учётной записи в Windows 10 можно двумя способами: используя пользовательский интерфейс или командную строку с правами администратора.
Вначале, рассмотрим создание, изменение и удаление пароля пользователя стандартными средствами интерфейса Windows 10. Продвинутый вариант работы с паролями через командную строку описан в конце статьи.
Как работать с паролями в Windows 10
Для работы с паролями в Windows 10, необходимо воспользоваться настройками «Варианты входа» в разделе «Учётные записи», который находится в основном меню «Параметры Windows». Попасть туда можно двумя способами:
1. Пройдите по цепочке: «Пуск» — «Параметры» — «Учётные записи» — «Варианты входа» — «Пароль».
2. Воспользуйтесь поиском в Windows 10: в строке поиска введите «Варианты входа», после чего кликните по соответствующей надписи в результатах поиска и выберите «Пароль» в правой части окна.
Как поставить пароль на Windows 10
Чтобы установить пароль на Windows 10, кликните по надписи «Пароль» и нажмите «Добавить».
В открывшемся окне «Создание пароля», заполните три поля: «Новый пароль», «Подтверждение пароля» и «Подсказка для пароля». Пароль необходимо указать два раза, чтобы удостовериться в правильности ввода кода. Придумайте подсказку, она будет отображаться при неправильном вводе пароля.
Если вы сомневаетесь в правильности пароля, можно воспользоваться специальной кнопкой, которая находится в правой части поля ввода.
После того как вы нажмёте «Далее», в новом окне система предупредит вас о том, что при следующем входе в Windows 10, необходимо будет ввести пароль. Для сохранения пароля и завершения процесса его создания, нажмите «Готово». Всё, пароль учётной записи Windows 10 установлен.
Не забудьте обновить контрольные вопросы к локальной учётной записи Windows 10, которые могут понадобиться для сброса пароля, на тот случай, если вы его забудете.
Контрольные вопросы Windows 10
Процесс обновления вопросов не займёт много времени. Для этого, нажмите «Пароль» и «Обновить контрольные вопросы». Windows 10 запросит текущий пароль пользователя. Далее, выберите контрольные вопросы и ответы на них. Сохраните результат — нажмите «Завершить».
Как изменить пароль Windows 10
Изменить пароль учётной записи пользователя Windows 10 очень просто, для этого кликните по надписи «Пароль» и нажмите «Изменить».
Для начала Windows 10 попросит подтвердить текущий пароль, после чего, перенаправит вас в окно «Изменение пароля». Здесь, так же, как и при создании пароля, потребуется ввести новый пароль, подтвердить его, и придумать новую подсказку. Чтобы сохранить изменения, нажмите «Далее», а в следующем окне «Готово». Пароль учётной записи Windows 10 — изменён.
Убрать пароль при входе в Windows 10
Чтобы отключить пароль в Windows 10, достаточно проделать следующие шаги:
Всё, пароль учётной записи пользователя Windows 10 отключен.
Сброс пароля Windows 10
Выполнить сброс пароля можно на этапе входа в Windows 10. Если вы не помните или потеряли доступы от учётной записи Windows 10, нажмите «Сбросить пароль».
Система предложит ответить на ряд контрольных вопросов. Если вы ответите правильно, Windows 10 отобразит поля для ввода нового пароля и его подтверждения. Укажите новый пароль и нажмите стрелку вправо, произойдёт успешный вход в систему.
Командная строка Windows 10: как поставить, изменить или сбросить пароль
Чтобы создать, изменить или удалить пароль учётной записи Windows 10 достаточно воспользоваться командной строкой с правами администратора. Для этого кликните правой кнопкой мыши «Пуск» и выберите «Командная строка (администратор)».
В Windows 10 существует специальная команда для работы с учётной записью пользователя, которая позволяет устанавливать, изменять или сбрасывать пароль:
Список команд:
Данные команды можно использовать, не только из-под своей учётной записи, но и при восстановлении доступа к Windows 10, в случае, если вы забыли пароль.
Забыт пароль Windows 10
Сбросить пароль учётной записи пользователя в Windows 10 можно при помощи установочной флешки и командной строки.
Этапы сброса пароля Windows 10:
Всё, пароль учётной записи пользователя Windows 10 сброшен.
Источник
Способы смены пароля учётной записи пользователя в RDP-сессии
При использовании удалённого подключения к операционным системам Microsoft Windows/Windows Server по протоколу RDP в некоторых случаях может возникать потребность в смене пароля учётной записи пользователя. При этом инициатором смены пароля в разных ситуациях может выступать как сам пользователь, так и администратор Windows-системы. В некоторых сценариях может получиться так, что, казалось бы, несложная задача смены пароля может стать не такой уж и простой. Поэтому в данной записи я попробую собрать информацию о самых разнообразных способах смены пароля учётной записи пользователя в RDP-сессии.
В случае, если пользователю Windows необходимо самостоятельно изменить пароль своей учётной записи, то в стандартной Windows-сессии пользователем может использоваться всем известное сочетание «горячих» клавиш Ctrl-Alt-Del. Это сочетание клавиш вызывает специальный экран Безопасности Windows (Windows Security), с которого доступна функция изменения пароля :
Если же речь заходит об использовании горячих клавиш в RDP-сессиях, то стоит заметить то, что во избежание перехвата некоторых сочетаний клавиш локальной клиентской системой (системой, с которой запускается RDP-клиент), перенаправление сочетаний клавиш Windows должно быть явно разрешено в свойствах RDP-клиента. Например в клиенте mstsc.exe, встроенном в Windows, данную опцию можно включить на закладке управления локальными ресурсам.
В стандартной первичной RDP-сессии для вызова специального экрана Безопасности Windows с функцией изменения пароля используется сочетание клавиш: Ctrl—Alt—End
В случае использования вложенных RDP-сессий (второго и последующего уровней), то есть когда из одной RDP-сессии открывается другая RDP-сессия, стандартное сочетание клавиш работать не будет. В разных источниках в интернете можно найти информацию об использовании более сложных сочетаний клавиш, таких как Ctrl—Alt—Shift-End или Shift-Ctrl-Alt-End. Однако мои эксперименты с Windows 10/Windows Server 2012 R2 показали, что данные сочетания клавиш попросту не работают (возможно они работали в ранних версиях ОС Windows). В этом случае на выручку нам может прийти следующий способ.
В составе Windows имеется приложение «Экранная клавиатура» (On-Screen Keyboard), расположенное по умолчанию в %SystemRoot%System32osk.exe. Используя это приложение, мы можем решить проблему использования «горячих» клавиш во вложенных RDP-сессиях.
Находясь во вложенной RDP-сессии, вызовем окно запуска приложений. Вызвать его можно разными способами, например, через контекстное меню по кнопке Windows, или через Диспетчер задач (Task Manager):
Либо можно использовать сочетание клавиш Win-R.
В окне запуска приложений выполним запуск исполняемого файла osk.exe
После того, как откроется приложение «Экранная клавиатура», нажмём на физической клавиатуре сочетание клавиш Ctrl—Alt, так, чтобы это отобразилось на экранной клавиатуре и затем, удерживая это сочетание клавиш, на экранной клавиатуре мышкой нажмём кнопку Del.
Таким образом мы отправим в удалённую RDP-сессию сочетание клавиш Ctrl-Alt-Del, в следствие чего откроется специальный экран Безопасности Windows с функцией изменений пароля пользователя.
Способ №3 – Ярлык на VBS-скрипт или Powershell
Вызов экрана Безопасности Windows можно выполнить не только интерактивными способами, но и программными, например, с помощью скриптов.
Разместим скрипт в месте, доступном на чтение (но не для редактирования) для всех пользователей удалённого рабочего стола, например в каталоге %SystemRoot% ( C:Windows ). А ярлык на запуск скрипта можно разместить в любом доступном пользователям месте, например, в каталоге общего профиля %SystemDrive%UsersPublicDesktop
При запуске данного ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля.
Для любителей PowerShell приведённый VBS-скрипт можно заменить PS-скриптом следующего вида:
Либо запускать из ярлыка команду вида:
Однако стоит отметить тот факт, что запуск варианта с PowerShell будет происходить медленней, чем варианта с VBS-скриптом.
Описанные здесь способы с запуском ярлыка, ссылающегося на скрипт, может попросту не сработать, так как в некоторых окружениях серверов служб удалённых рабочих столов может быть заблокирована возможность выполнения скриптов. В таком случае, можно воспользоваться следующим способом.
Способ №4 – Ярлык оболочки Windows Explorer
Если говорить о создании ярлыка запуска экрана Безопасности Windows, то имеется ещё один вариант создания такого ярлыка. Создаётся ярлык со ссылкой на расширение оболочки Windows Explorer следующего вида:
Опять же, при запуске такого ярлыка у пользователя будет открываться экран Безопасности Windows с возможностью изменения пароля. Этот способ одинаково хорошо работает на Windows 10 и на Windows Server 2012 R2.
Способ №5 – Панель управления Windows (локальные учётные записи)
Данный способ относится лишь к локальным учётным записям пользователей. Изменить пароль учётной записи рядового локального пользователя можно через Панель управления Windows. В Windows 10 из раздела Панели управления «Учётные записи пользователей» доступен вызов окна «Параметры компьютера«, в котором имеется функция изменения пароля текущего локального пользователя.
Такие методы вызова апплета управления учётными записями пользователей Панели управления Windows, как, например команда «control userpasswords2«, в качестве отдельного способа мы выделять не будем, так как подобные действия требуют административных прав в удалённой системе. То же самое касается и таких CLI-утилит Windows, как net.exe ( %SystemRoot%System32net.exe ) (пример команды «net user username newpassword«), так как они тоже требуют повышения уровня прав пользователя.
Ремарка
Отдельно хочется отметить обстоятельство, про которое порой забывают администраторы, и это может приводить к разным курьёзным ситуациям.
Попытки смены пароля, инициированные самим пользователем, могут оказаться безуспешными в случае, если пароль был недавно изменён и на удалённую Windows систему действует политика безопасности, определяющая минимальный срок действия пароля.
Повторюсь, что повлиять на ситуацию эта политика может только в случаях, когда пользователь самостоятельно инициирует процедуру смены пароля.
Далее мы поговорим о сценарии, при котором требование смены пароля включается для учётной записи пользователя форсировано администратором сервера (для локальных учётных записей), либо администратором службы каталогов Active Directory (для доменных учётных записей).
Практика показывает, что как только администратором включено требование смены пароля пользователя при следующем входе в систему, у пользователя могут возникнуть проблемы с подключением по протоколу RDP, если на стороне RDS сервера (а в некоторых случаях и на стороне RDS клиента) предварительно не предпринято никаких действий по специальной настройке обработки таких ситуаций. Далее мы рассмотрим пару примеров такой настройки.
Клиентский доступ к службам Windows Server RDS может быть организован через веб-интерфейс серверной роли Remote Desktop Web Access (RDWA). В функционале этой роли имеется выключенная по умолчанию возможность смены пароля пользователя в процессе аутентификации на веб-странице RDWA.
Чтобы включить данную возможность в Windows Server 2012/2012 R2 откроем консоль управления Internet Information Services (IIS) Manager, выберем сайт RDWA, развернём RDWeb > Pages и в разделе настроек ASP.NET выберем настройку опций веб-приложения Application Settings:
В перечне опций находим PasswordChangeEnabled и меняем установленное по умолчанию значение false на true:
Если серверов RDWA несколько и они работают в пуле за балансировщиком, например Windows NLB, то не забываем выполнить данное изменение на всех других серверах пула.
Теперь попытаемся от имени пользователя, у которого в свойствах учётной записи установлено требование смены пароля при следующем входе, аутентифицироваться на веб-странице RDWA:
После ввода учётных данных пользователя появится сообщение о том, что пароль пользователя требует замены и ссылка на страницу с функцией смены пароля ( https:// /RDWeb/Pages/ru-RU/password.aspx ):
На этой отдельной странице пользователь сможет ввести свои текущие учётные данные и новый пароль:
В случае успешной смены пароля пользователь получит соответствующее сообщение: 
При необходимости ссылку на страницу смены пароля можно сделать доступной не только тем пользователям, у которых после аутентификации возникает требование смены пароля, но и всем остальным пользователям, чтобы они могли самостоятельно выполнять смену пароля по собственной инициативе через веб-страницу RDWA. Для этого можно будет внедрить ссылку на страницу password.aspx на странице входа login.aspx (по умолчанию страницы расположены в каталоге %windir%WebRDWebPagesru-RU )
Способ №7 – Специальный RDP-файл
Если пользователь выполняет подключение к удалённому рабочему столу на базе Windows Server 2012/2012 R2 через прямой запуск стандартного клиента mstsc.exe, то в ситуации с включенным признаком требования смены пароля, попытка подключения может быть завершена с ошибкой » You must change your password before logging on the first time. Please update your password or contact your system administrator or technical support «.
Если ситуация требует того, чтобы пользователь самостоятельно изменил свой пароль при первом входе в систему, то это потребует некоторого изменения уровня безопасности настроек протокола RDP на стороне RDS сервера и подготовки специального RDP-файла на стороне клиента.
Сначала на клиентской стороне откроем mstsc.exe, настроим все нужные параметры подключения к серверу RDS и используя кнопку Сохранить как, создадим RDP-файл.
После этого откроем RDP-файл в текстовом редакторе и добавим в конец файла строку «enablecredsspsupport:i:0«
Разрешить эту ситуацию можно только понизив уровень безопасности RDP на стороне RDS сервера, отключив обязательное требование проверки подлинности на уровне сети (NLA). Изменить эту настройку можно в свойствах системы на закладке Удалённый доступ:
В английской версии Windows название опции звучит как «Allow connections only from computers running Remote Desktop with Network Level Authentication (recommended)»
Если NLA нужно отключить на уровне коллекции серверов Windows Server 2012 R2, то сделать этом можно в свойствах коллекции сеансов, например через оснастку Server Manager:
После того, как отключено требование NLA на стороне RDS сервера, клиент с помощью специального RDP-файла, о котором мы сказали выше, должен успешно установить RDP-сессию и уже в ней получить сообщение о необходимости смены пароля:
И после этого пользователю будет показан экран, на котором он сможет задать новый пароль:
После успешной смены пароля последующие подключения по протоколу RDP будут проходить в штатном режиме без лишних запросов.
Заключение
Приведённый здесь перечень способов смены пароля при использовании протокола RDP не претендует на какую-то полноту и исключительность, а лишь отражает ту информацию, которую мне удалось найти в разных источниках по этому поводу. На мой взгляд, ни один из перечисленных способов нельзя считать наиболее удобным или универсальным, так как каждый из способов может применяться в определённых ограниченных сценариях и имеет, как преимущества, так и недостатки по сравнению с другими способами.
Дополнительные источники информации:
Источник
Изменение пароля пользователя домена с помощью командной строки
Изменение пароля пользователя домена с помощью командной строки
Хотите узнать, как изменить пароль пользователя домена с помощью командной строки? В этом уроке мы покажем вам, как использовать командную строку для установки пароля учетной записи пользователя домена на компьютере под управлением Windows.
• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Окна 11
Список оборудования
Здесь вы можете найти список оборудования, используемого для создания этого учебника.
Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.
Windows Связанные Учебник:
На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.
Учебник Windows — Изменение пароля пользователя домена
Как администратор, запустите повышенную командную строку.
Перечислите учетные записи пользователей домена.
Изменение пароля пользователя домена.
При необходимости используйте эту команду.
Введите запрашиваемую информацию.
В нашем примере мы настроили пароль учетной записи домена с именем GOHAN.
Поздравляю! Вы можете изменить пароль пользователя домена с помощью командной строки.
VirtualCoin CISSP, PMP, CCNP, MCSE, LPIC22022-07-27T23:10:05-03:00
Related Posts
Page load link
Join Our Newsletter
Ok
Turns out this is actually fairly simple.
On the change password screen, accessed by hitting ctrl+alt-delete at the computer (or remotely*) you can actually edit the user name to something else, such as adding a domain specifier in front of the user name. Yes this works even if the computer is not in the domain but is on the network.
So there are a few ways to go about it.
So what I actually just tested was to connect the the machine remotely. Sent ctrl+alt+del through the remote desktop program. Picked change password. Changed the username, in my case my username with the «mydomain» prefixed (in front) of it. Change it to your actual domain of course and the exact user name if it differs on the domain. Hit enter. Voila! Done.
So you can do this on any computer you have access to in the domain with any other user, physically/locally or remotely. Open the change user name screen and change the user name to the fully qualified/specified user name, meaning with the domain name in front of it followed by «», such as: domainnameyourusername.
*= remotely accessing your computer with software such as Microsoft Windows Remote Desktop, Chrome remote desktop, Team viewer etc, and making the equivalent of a ctrl+alt+del. In microsoft Remote desktop by hitting ctrl+alt+end. In Chrome remote desktop, https://remotedesktop.google.com, you do this in a menu.
Of course accessing a machine remotely might or might not meen you need vpn access with the same login that is expired… However hopefully those are two different logins if so.
Cloud services for remote access, such as Chrome remote desktop, team viewer, ssh tunnels, etc are potentially unauthorized/dangerous and most likely prohibited backdoors that could in some cases circumvent this catch-22 situation with an expired vpn access. Make sure you are allowed the make use of those if tempted, they are most likely not, for good reasons.
Turns out this is actually fairly simple.
On the change password screen, accessed by hitting ctrl+alt-delete at the computer (or remotely*) you can actually edit the user name to something else, such as adding a domain specifier in front of the user name. Yes this works even if the computer is not in the domain but is on the network.
So there are a few ways to go about it.
So what I actually just tested was to connect the the machine remotely. Sent ctrl+alt+del through the remote desktop program. Picked change password. Changed the username, in my case my username with the «mydomain» prefixed (in front) of it. Change it to your actual domain of course and the exact user name if it differs on the domain. Hit enter. Voila! Done.
So you can do this on any computer you have access to in the domain with any other user, physically/locally or remotely. Open the change user name screen and change the user name to the fully qualified/specified user name, meaning with the domain name in front of it followed by «», such as: domainnameyourusername.
*= remotely accessing your computer with software such as Microsoft Windows Remote Desktop, Chrome remote desktop, Team viewer etc, and making the equivalent of a ctrl+alt+del. In microsoft Remote desktop by hitting ctrl+alt+end. In Chrome remote desktop, https://remotedesktop.google.com, you do this in a menu.
Of course accessing a machine remotely might or might not meen you need vpn access with the same login that is expired… However hopefully those are two different logins if so.
Cloud services for remote access, such as Chrome remote desktop, team viewer, ssh tunnels, etc are potentially unauthorized/dangerous and most likely prohibited backdoors that could in some cases circumvent this catch-22 situation with an expired vpn access. Make sure you are allowed the make use of those if tempted, they are most likely not, for good reasons.
Обновлено 21.05.2021
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В минувшей статье я вам подробно осветил методы «как разархивировать файл» в операционных системах Windows или Linux. Сегодня я вам хочу показать очень удобный скрипт на PowerShell. который позволит вам изменить пароль локальной учетной записи на компьютерах в домене Active Directory. Уверен, что данная задача. хоть раз в год у вас и появляется. а по правильному лучше это проделывать хотя бы раз в пол года, в целях повышения безопасности.
Задача по смене пароля локального администратора в домене
Представим простую ситуацию. У вас есть домен Active Directory в котором 50 и более компьютеров. На каждом из них есть локальная учетная запись администратора, используется она чаще всего для второй линии, чтобы производить обслуживание рабочих станций. Вам потребовалось сменить пароль для учетной записи «Администратор», как быть, вы же не будите бегать и ручками все менять.
Ранее во времена Windows Server 2008R2, можно было легко обновить пароль локального администратора с помощью групповых политик, я об этом рассказывал, но в следующих версиях Windows Server 2012 R2 и выше, уже данная опция не доступна, кнопки просто неактивны.
Не знаю, с какой целью Microsoft убрала данную возможность, очень странный ход, поэтому пойдем другим путем. Мы напишем простой скрипт на PowerShell, который возьмет список DNS-имен серверов и на каждом из них он поменяет пароль для нужной нам локальной учетной записи.
Скрипт PowerShell по изменению пароля локальной учетной записи на удаленном компьютере
Для того, чтобы наш скрипт нормально отработал нам нужно выполнить некоторые требования:
- Иметь права администратора на том компьютере, где будет изменяться пароль для локальной учетной записи, я уверен, что вы все доменные администраторы
- Выяснить версию PowerShell, так как я приведу два варианта скрипта по изменению пароля, и тут нужно понимать, какой командлет поддерживает ваша версия.
- Подготовить список с именами серверов и сформировать текстовый файл, по идее все.
Подготовка файла со списком серверов
Давайте я покажу формат и структуру файла, в котором будет содержаться список наших серверов. Создайте обычный txt файл и задайте ему имя. у меня пусть будет comps.txt. Далее скопируйте в него список ваших FQDN имен серверов, ОДНА СТРОКА — ОДНО имя.
Скрипт для массовой смены пароля у локального администратора для PowerShell 5.1 и ниже
Я уверен, что на серверах из списка вы администратор. Я для примера буду производить смену пароля у локальной учетной записи «Администратор«, хотя по хорошему вы ее должны переименовать или отключить вообще, создав другую. Откройте PowerShell ISE и скопируйте скрипт.
# Задаем месторасположение нашего файла со списком серверов
$computer = «C:Tempcomps.txt»
foreach($computerName in (Get-Content $computer)) {
#Устанавливаем новый пароль
$adminPassword = «123456A@»
#задаем какую учетную запись мы будим изменять
$adminUser = [ADSI] «WinNT://$computerName/Администратор»
$adminUser.SetPassword($adminPassword)
}
Можно использовать еще вот такой вариант для списка:
$computer = «C:Tempcomps.txt»
foreach ($computerName in (Get-Content $computer))
{
Write-Host «Tryimg to process computer $computerName»
If (Test-Connection -ComputerName $computerName -Count 2 -Quiet)
{
Write-Host «Компьютер отвечает на Ping»;
$credential = Get-Credential -UserName «Администратор» -Message «Вводим новый пароль»;
If ($credential -eq $null)
{
Write-Warning «The username and/or the password is empty! I quit.»;
Exit;
}
$user = [adsi]»WinNT://$computer/$($credential.GetNetworkCredential().Username),user»;
$user.SetPassword($credential.GetNetworkCredential().Password);
$user.SetInfo();
}
Else
{
Write-Warning «Компьютер не отвечает.»;
}
}
Или вариант для одного компьютера
$computer = Read-Host -Prompt «Введите имя компьютера»;
If (Test-Connection -ComputerName $computer -Count 2 -Quiet) {
Write-Host «The computer responded to our ping request. Connecting…»;
$credential = Get-Credential -UserName «Администратор» -Message «Вводим новый пароль»;
If ($credential -eq $null) {
Write-Warning «The username and/or the password is empty! I quit.»;
Exit;
}
$user = [adsi]»WinNT://$computer/$($credential.GetNetworkCredential().Username),user»;
$user.SetPassword($credential.GetNetworkCredential().Password);
$user.SetInfo();
} Else {
Write-Warning «Компьютер не отвечает.»;
}
Скрипт для массовой смены пароля у локального администратора для PowerShell 5.1 и выше
В Windows 10 build 1607 и выше, новый Powershell 5.1 представил Set-LocalUserкомандлет. Вы можете использовать его для этой задачи вместо адаптера ADSI, но для этого требуется, чтобы на удаленных компьютерах была включена служба удаленного взаимодействия Powershell (которая по умолчанию отключена). Чтобы разрешить прием удаленных команд, вам необходимо запустить run Enable-PSRemotingв терминале Powershell с повышенными привилегиями на удаленном компьютере.
Если удаленное взаимодействие PS включено, измененный сценарий будет выглядеть следующим образом:
- Для одного компьютера
$computer = Read-Host -Prompt «Введите имя компьютера»;
If (Test-Connection -ComputerName $computer -Count 2 -Quiet) {
Write-Host «Пытаюсь проверить компьютер на пакеты ping»;
Invoke-Command -ComputerName $computer -ScriptBlock {
$credential = Get-Credential -UserName «Администратор» -Message «Введите новый пароль»;
If ($credential -eq $null) {
Write-Warning «The username and/or the password is empty! I quit.»;
Exit;
}
Set-LocalUser -Name $credential.UserName -Password $credential.Password;
}
} Else {
Write-Warning «Компьютер не отвечает на Ping.»;
}
- Для списка компьютеров
$computer = «C:Tempcomps.txt»
foreach ($computerName in (Get-Content $computer))
{
If (Test-Connection -ComputerName $computerName -Count 2 -Quiet)
{
Write-Host «Пытаюсь проверить компьютер на пакеты ping»;
Invoke-Command -ComputerName $computerName -ScriptBlock {
$credential = Get-Credential -UserName «Администратор» -Message «Введите новый пароль»;
If ($credential -eq $null)
{
Write-Warning «The username and/or the password is empty! I quit.»;
Exit;
}
Set-LocalUser -Name $credential.UserName -Password $credential.Password;
}
} Else
{
Write-Warning «Компьютер не отвечает на Ping.»;
}
}
На этом у меня все, как говорится нет пределу совершенства. и вы можете написать куда лучше и поделиться со мной и читателями. С вами был Иван Семин. автор и создатель IT портала Pyatilistnik.org.