Meilleur auteur de réponses
Modifider mot de passe activedirertory d'un autre domaine en ligne de commande

Question
-
Bonjour,
Je suis depuis plusieurs jours sur différents problèmes, et je m'en remets à votre aide.
J'ai 2 domaines: domaineA et domaineB.
Il y a un trust à sens unique, dans Domaines et Approbations ActiveDirectory du domaineB, il y a une approbation sortantes vers le domaineA.
Question:
Est-il possible que les utilisateurs connecté sur le domaineA puissent changer leur mot de passe de leur compte du domaineB, en ligne de commande ?
J'ai essayé avec dsmod, net user et Set-AdAccountPassword, mais cela ne fonctionne pas.
Merci par avance pour vos conseils.
Nicolas
Nicolas
jeudi 6 avril 2017 08:27
Réponses
-
Et cela ne marchera pas non plus si vous n’êtes pas authentifié sur le domaine B, sachant que pour un reset, il faut avoir les droits nécessaires. Il faudra a minima ajouter le paramètre -Credential pour s'authentifier.
Si cela ne fonctionne pas, on peut toujours utiliser un object LDAP en powershell et invoquer ChangePassword.
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 18:23 -
Bonjour,
Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.
Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com'
-Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)Il me répond impossible de trouver l'objet avec l'identité Prénom Nom .... sous "DC=DomaineA, DC=COM"
----------------------
Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...
Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.
Nicolas
Tu oublie de spécifier le serveur avec la commande Set-AdAccountPassword
Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force) -server DC_DU_DOMAINE_B
B.- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 13:06
Toutes les réponses
-
Bonjour nicolasw,
Veuillez consulter le lien suivant :
Change user password in Windows command line
Et aussi :
https://technet.microsoft.com/fr-fr/library/cc754395(v=ws.11).aspx
Je vous remercie par avance pour votre retour .
Cordialement,
Nedeltchovendredi 7 avril 2017 05:44 -
essaye en exécutant la commande dans le bon contexte.
Càd, que l'utilisateur DomaineA ouvre une fenêtre de commande en tant qu'utilisateur du Domaine B
runas /user:domainB\UserB cmd
ensuite, de cette fenêtre de commande, un net-user
net user UserB NouveauMDP
Mais, cela risque de ne pas fonctionner du à l'pprobation tel que tu l'explique!
B.
- Modifié Bawilanemo dimanche 9 avril 2017 11:02
dimanche 9 avril 2017 11:01 -
Merci pour votre réponse:
alors pour la commande :
net user loginid * /domain
Je n'arrive pas à renseigner le domain
net user loginid * /domain:Nom_du_DomainB
net user loginid * /Nom_du_DomainB
Cela ne fonctionne pas.
Par ailleurs, pour moi la commande serai plutot
net user loginid *
j'ai essayé également avec dmod:
dsmod user "CN=Nicolas xxxxx,OU=User-test,OU=XXX,DC=domaineB,DC=com" -d DomainB.com -pwd *
J'ai ce message d'erreur :
=> dsmod échec:CN=Nicolas xxxx,OU=User-test,OU=XXX,DC=DomainB,DC=com:Accès refusé.:La définition du mot de passe a échoué.
Nicolas
- Modifié nicolas_z mardi 11 avril 2017 12:52
mardi 11 avril 2017 12:45 -
Bonjour,
Merci pour votre réponse, en effet, je n'ai a priori pas les droits de le faire. voici le message:
C:\Users\nxxxx>runas /user:DomainB.com\nXXXXX cmd.exe
Entrez le mot de passe de DomainB.com\nXXXXX :
Tentative de lancement de cmd.exe en tant qu'utilisateur "DomainB.com\nXXXXX" ...
Erreur de RUNAS : Impossible d'exécuter - cmd.exe
1787 : La base de données de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail
.
Est-il possible de le faire via un portail Web? qui inclurai les services AD ?
Mais si cela ne fonctionne pas en ligne de commande, cela ne fonctionnera pas mieux en graphique j'imagine...
Est-ce du à la relation d'approbation qui est en sens unique ?
Faut il faire une relation d'approbation bi-directionnelle ?
merci par avance pour vos retours.
Cordialement,
Nicolas
Nicolas
- Modifié nicolas_z mardi 11 avril 2017 12:52
mardi 11 avril 2017 12:49 -
Bonjour,
Pour changer le mot de passe d'un compte du domaine , il faut avoir la permission au niveau la délégation active directory.
Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/
mardi 11 avril 2017 16:24 -
Oui, c'est probablement dû au trust à sens unique
Tu ne peux pas choisir le domaine avec net user
mais avec set-aduserpassword, tu peux choir le serveur sur lequel le changement doit-être fait et fournir les credential requis sur ledit serveur.
B.
mardi 11 avril 2017 18:18 -
Bonjour,
Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.
Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com'
-Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)Il me répond impossible de trouver l'objet avec l'identité Prénom Nom .... sous "DC=DomaineA, DC=COM"
----------------------
Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...
Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.
Nicolas
mercredi 12 avril 2017 08:36 -
Bonjour,
Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.
Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com'
-Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)Il me répond impossible de trouver l'objet avec l'identité Prénom Nom .... sous "DC=DomaineA, DC=COM"
----------------------
Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...
Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.
Nicolas
Tu oublie de spécifier le serveur avec la commande Set-AdAccountPassword
Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force) -server DC_DU_DOMAINE_B
B.- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 13:06 -
Et cela ne marchera pas non plus si vous n’êtes pas authentifié sur le domaine B, sachant que pour un reset, il faut avoir les droits nécessaires. Il faudra a minima ajouter le paramètre -Credential pour s'authentifier.
Si cela ne fonctionne pas, on peut toujours utiliser un object LDAP en powershell et invoquer ChangePassword.
Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 18:23