none
dsmod leeres Passwort (dsmod user -pwd [leeres Passwort]) RRS feed

  • Frage

  • Hallo,

    Ich ringe gerade mit PowerShell.

    Ich möchte die Passwörter aller User einer bestimmten OU zurücksetzen auf [blank/leer] und sie anschließend dazu bringen das Passwort beim nächsten Login zu ändern.

    Skript geschrieben, soweit so gut, nur das mit dem leeren Passwort klappt nicht.

    cls
    Import-Module ActiveDirectory
    
    $sdou = Get-ADUser -Filter * -Searchbase "OU=Klasse,OU=Schüler,DC=schulnetz,DC=lan" |select name
    
    $distName1 = '"CN='
    $distName2 = ',OU=Klasse,OU=Schüler,DC=schulnetz,DC=lan"'
    
    foreach($s in $sdou){
        
        $distNameFin = $distName1 + $s.name + $distName2
       
        dsmod user $distNameFin -pwd "" -mustchpwd yes
    }
    

    Im AD kann ich händisch ja easy das PW auf [blank] zurücksetzen.

    Ist das mit dsmod nicht möglich?

    mfg ncknb

    Montag, 18. Juli 2016 15:04

Antworten

  • Moin,

    theoretisch über ADSI durch direktes Beschreiben des unicodePwd-Attributes, wenn sichergestellt ist, das die Verbindung über LDAPS erfolgt. Praktisch habe ich es noch nicht ausprobiert, aber da AD Users & Computers auch diese Schnittstelle nutzt und es damit möglich ist, sollte es auch programmatisch gehen.

    Allerdings wirst Du hier (wie Du schon bemerkt hast) nicht viel Unterstützung erfahren, da die Welt von heute in Bezug auf leere Kennwörter eher damit beschäftigt ist, sie zu identifizieren und auszumerzen und weniger damit, sie noch zusätzlich zu erzeugen. Auch wird eine AD-Domäne, in der Kennwortlänge 0 erlaubt ist, bei jedem Audit durchfallen. Vielleicht solltest Du, bevor Du dich zu einem AD Internals Ninja hoch arbeitest, Dir einfach ein allseits bekanntes Standardkennwort überlegen und Deine Domäne gemäß Best Practices fahren ;-)

    EDIT P.S. Aber wenn Du es hinkriegst, würde mich die Lösung direkt interessieren.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Dienstag, 19. Juli 2016 07:19

Alle Antworten

  • Moin,

    nein, mit DSMOD kann man kein leeres Kennwort erzeugen.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Montag, 18. Juli 2016 18:01
  • Moin,

    nein, mit DSMOD kann man kein leeres Kennwort erzeugen.

    Danke für die schnelle Antwort. Gibt es denn eine andere Möglichkeit mit Powershell ein leeres Passwort zu setzen?
    Dienstag, 19. Juli 2016 06:44
  • Moin,

    theoretisch über ADSI durch direktes Beschreiben des unicodePwd-Attributes, wenn sichergestellt ist, das die Verbindung über LDAPS erfolgt. Praktisch habe ich es noch nicht ausprobiert, aber da AD Users & Computers auch diese Schnittstelle nutzt und es damit möglich ist, sollte es auch programmatisch gehen.

    Allerdings wirst Du hier (wie Du schon bemerkt hast) nicht viel Unterstützung erfahren, da die Welt von heute in Bezug auf leere Kennwörter eher damit beschäftigt ist, sie zu identifizieren und auszumerzen und weniger damit, sie noch zusätzlich zu erzeugen. Auch wird eine AD-Domäne, in der Kennwortlänge 0 erlaubt ist, bei jedem Audit durchfallen. Vielleicht solltest Du, bevor Du dich zu einem AD Internals Ninja hoch arbeitest, Dir einfach ein allseits bekanntes Standardkennwort überlegen und Deine Domäne gemäß Best Practices fahren ;-)

    EDIT P.S. Aber wenn Du es hinkriegst, würde mich die Lösung direkt interessieren.


    Evgenij Smirnov

    msg services ag, Berlin -> http://www.msg-services.de
    my personal blog (mostly German) -> http://it-pro-berlin.de
    Windows Server User Group, Berlin -> http://www.winsvr-berlin.de
    Mark Minasi Technical Forum, reloaded -> http://newforum.minasi.com

    In theory, there is no difference between theory and practice. In practice, there is.


    Dienstag, 19. Juli 2016 07:19
  • Moin,

    theoretisch über ADSI durch direktes Beschreiben des unicodePwd-Attributes, wenn sichergestellt ist, das die Verbindung über LDAPS erfolgt. Praktisch habe ich es noch nicht ausprobiert, aber da AD Users & Computers auch diese Schnittstelle nutzt und es damit möglich ist, sollte es auch programmatisch gehen.

    Allerdings wirst Du hier (wie Du schon bemerkt hast) nicht viel Unterstützung erfahren, da die Welt von heute in Bezug auf leere Kennwörter eher damit beschäftigt ist, sie zu identifizieren und auszumerzen und weniger damit, sie noch zusätzlich zu erzeugen. Auch wird eine AD-Domäne, in der Kennwortlänge 0 erlaubt ist, bei jedem Audit durchfallen. Vielleicht solltest Du, bevor Du dich zu einem AD Internals Ninja hoch arbeitest, Dir einfach ein allseits bekanntes Standardkennwort überlegen und Deine Domäne gemäß Best Practices fahren ;-)

    EDIT P.S. Aber wenn Du es hinkriegst, würde mich die Lösung direkt interessieren.


    Alles klar, danke erstmal.

    Ja Standard Kennwort wäre die Alternative. Ich probiere mal weiter ;)


    • Bearbeitet ncknb Mittwoch, 20. Juli 2016 13:48
    Mittwoch, 20. Juli 2016 13:48
  • Hallo,

    mit dem CMDLet Set-ADAccountPassword kann man Kennwörter reseten, kann Dir aber nicht sagen ob der mit einem leeren Kennwort klar kommt, weil es bei uns selbstverständlich eine Mindestlänge gefordert ist.

    Beste Gruesse
    brima

    Donnerstag, 21. Juli 2016 09:20