none
alle Benutzer zur Änderung ihrer Kennwörter zwingen RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden
    Guten Morgen, ich suche nach der Möglichkeit, alle Benutzer im AD dazu zu bringen, bei der nächsten Anmeldung ihre Kennwörter zu ändern. Und nein, ich möchte den Haken nicht in jedes Benutzerkonto händisch setzen. Ist mir bei 200 Benutzern zu viel Aufwand. Und über eine GPO, mit maximalem Kennwortalter ist das auch schwierigig, da es eigentlich am nächsten Tag passieren soll und das wird schwierig, wenn Leute im Urlaub sind. Da würden alle so lange ihr Kennwort täglich ändern, bis auch der letzte wieder da ist. Hat jemand eine Idee?
    Mittwoch, 2. Februar 2011 07:47
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ha, ADModify macht das sehr schön.

    Dank Daniel ;-)

    • Als Antwort markiert Daniel Gröhl Mittwoch, 2. Februar 2011 08:21
    Mittwoch, 2. Februar 2011 08:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 02.02.2011 09:20, schrieb Daniel Gröhl:

    Ha, ADModify macht das sehr schön.

    oder:
    Suche -> Benutzer -> STRG-A "alle" markieren -> EIgenschaften

    oder:
    dsquery user "ou=meine user,dc=..." - limit 0 | dsmod user -mustchpwd:yes
     Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Daniel Gröhl Mittwoch, 2. Februar 2011 10:31
    Mittwoch, 2. Februar 2011 09:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 02.02.2011 11:31, schrieb Daniel Gröhl:

    Auch zwei sehr schöne Möglichkeiten.

    Ist vielleicht an einigen Systemen einfacher, weil man ja nicht
    immer gleich ein ADModify zur Hand hat.
    Dafür kann ADModify aber wensentlich mehr, als die beiden anderen
    Optionen.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Daniel Gröhl Donnerstag, 3. Februar 2011 10:14
    Mittwoch, 2. Februar 2011 11:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    State of the Art löst man das mit der AD-PowerShell, die man sich auch unter Windows Server 2003 und Windows Server 2008 nachrüsten kann.
    Danach gibt man diesen Befehl ein:

    Get-ADUser -filter * | Set-ADUser –ChangePasswordAtLogon $true

    [LDAP://Yusufs.Directory.Blog/ - AD-PowerShell Befehle]
    http://blog.dikmenoglu.de/ADPowerShell+Befehle.aspx

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort markiert Daniel Gröhl Donnerstag, 3. Februar 2011 10:14
    Donnerstag, 3. Februar 2011 09:10
    |
    Moderator

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Ha, ADModify macht das sehr schön.

    Dank Daniel ;-)

    • Als Antwort markiert Daniel Gröhl Mittwoch, 2. Februar 2011 08:21
    Mittwoch, 2. Februar 2011 08:20
    |
  • Question
    Anmelden
    0
    Anmelden

    Hi,

    Am 02.02.2011 09:20, schrieb Daniel Gröhl:

    Ha, ADModify macht das sehr schön.

    oder:
    Suche -> Benutzer -> STRG-A "alle" markieren -> EIgenschaften

    oder:
    dsquery user "ou=meine user,dc=..." - limit 0 | dsmod user -mustchpwd:yes
     Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Daniel Gröhl Mittwoch, 2. Februar 2011 10:31
    Mittwoch, 2. Februar 2011 09:35
    |
  • Question
    Anmelden
    0
    Anmelden

    Auch zwei sehr schöne Möglichkeiten.

    Danke Mark

    Mittwoch, 2. Februar 2011 10:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 02.02.2011 11:31, schrieb Daniel Gröhl:

    Auch zwei sehr schöne Möglichkeiten.

    Ist vielleicht an einigen Systemen einfacher, weil man ja nicht
    immer gleich ein ADModify zur Hand hat.
    Dafür kann ADModify aber wensentlich mehr, als die beiden anderen
    Optionen.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    • Als Antwort markiert Daniel Gröhl Donnerstag, 3. Februar 2011 10:14
    Mittwoch, 2. Februar 2011 11:24
    |
  • Question
    Anmelden
    0
    Anmelden

    Servus,

    State of the Art löst man das mit der AD-PowerShell, die man sich auch unter Windows Server 2003 und Windows Server 2008 nachrüsten kann.
    Danach gibt man diesen Befehl ein:

    Get-ADUser -filter * | Set-ADUser –ChangePasswordAtLogon $true

    [LDAP://Yusufs.Directory.Blog/ - AD-PowerShell Befehle]
    http://blog.dikmenoglu.de/ADPowerShell+Befehle.aspx

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    • Als Antwort markiert Daniel Gröhl Donnerstag, 3. Februar 2011 10:14
    Donnerstag, 3. Februar 2011 09:10
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden
    Vielen Dank für die vielen Tips.
    Donnerstag, 3. Februar 2011 10:14
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 03.02.2011 schrieb Yusuf Dikmenoglu [MVP]:
    Hi,

    State of the Art löst man das mit der AD-PowerShell, die man sich auch unter Windows Server 2003 und Windows Server 2008 nachrüsten kann.
    Danach gibt man diesen Befehl ein:

    Get-ADUser -filter * | Set-ADUser –ChangePasswordAtLogon $true

    Also an dem Filter sollte aber noch gearbeitet werden, oder ist der
    fehlertolerant? Was ist mit Konten die ein nicht ablaufendes Kennwort
    besitzen? Ich hab grad keinen Bock zu testen.

    Bye
    Norbert

    Freitag, 4. Februar 2011 00:10
    |
  • Question
    Anmelden
    0
    Anmelden

    Huhuu,

    > Also an dem Filter sollte aber noch gearbeitet werden, oder ist der fehlertolerant

    natürlich kannst DU dir den Filter nach deinen Bedürfnissen anpassen. ;-)

    > oder ist der fehlertolerant? Was ist mit Konten die ein nicht ablaufendes Kennwort besitzen?

    Ja, wenn Konten dabei sind bei denen die Option "Kennwort läuft nie ab" aktiviert ist, kommt es bei diesen Konten zu solcher Fehlermeldung:

    Set-ADUser : "PasswordNeverExpires" ist für dieses Konto auf TRUE gesetzt. Das
    Kennwort für das Konto muss bei der nächsten Anmeldung nicht geändert werden.
    [...]

    > Ich hab grad keinen Bock zu testen.

    Dann mach ich es halt für dich. Das tun doch Brüder füreinander. ;-D

     

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Freitag, 4. Februar 2011 08:58
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Naja, das muss man beim ADModify auch beachten. Bei mir ist das der Fall gewesen. Unsere Benutzer haben dieses Attribut und im Faller der Verwendung der PowerShell musst du wohl im ersten Schritt dieses Attribut löschen und dann erst das neue zur erzwungenen Änderung setzten und jetzt wird's umständlich, finde ich.

    Fazit: Die eleganteste Methode, erst Recht wenn man einige OU's mit Benutzern hat, ist ADModify. Da geht es alles in einem Rutsch, nur die Liste der Benutzer editieren und Haken setzen. Keiner ist schneller.

    Gruß,

    Daniel

    Freitag, 4. Februar 2011 09:03
    |
  • Question
    Anmelden
    0
    Anmelden

    Am 04.02.2011 schrieb Daniel Gröhl:
    Hi,

    Fazit: Die eleganteste Methode, erst Recht wenn man einige OU's mit Benutzern hat, ist ADModify. Da geht es alles in einem Rutsch, nur die Liste der Benutzer editieren und Haken setzen. Keiner ist schneller.

    Nö, die schnellste Variante ist dsa.msc. ;) Glaubs mir.

    Bye
    Norbert

    Freitag, 4. Februar 2011 12:16
    |
  • Question
    Anmelden
    0
    Anmelden

    > Verwendung der PowerShell musst du wohl im ersten Schritt dieses Attribut löschen und dann erst das neue zur erzwungenen Änderung setzten

    Nö, muss man nicht!

    > und jetzt wird's umständlich, finde ich.

    So soo... und diesen Befehl bezeichnest du also als "umständlich".

    Get-ADUser -filter * | Set-ADUser -PasswordNeverExpires $false -ChangePasswordAtLogon $true


    Naja, jeder wie er es mag und bekanntlich führen viele Wege nach Rom... ähm ne, ins Wochenende.

    In diesem Sinne!

    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Freitag, 4. Februar 2011 12:26
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Am 04.02.2011 13:26, schrieb Yusuf Dikmenoglu [MVP]:

    So soo... und diesen Befehl bezeichnest du also als "umständlich".

    Absolut, total umständlich!
    :-)
     -- Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    GPO Tool:    www.reg2xml.com - Registry Export File Converter
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Freitag, 4. Februar 2011 14:06
    |