locked
Modifider mot de passe activedirertory d'un autre domaine en ligne de commande RRS feed

  • Question

  • Bonjour,

    Je suis depuis plusieurs jours sur différents problèmes, et je m'en remets à votre aide.

    J'ai 2 domaines: domaineA et domaineB.

    Il y a un trust à sens unique, dans Domaines et Approbations ActiveDirectory du domaineB, il y a une approbation sortantes vers le domaineA.

    Question:

    Est-il possible que les utilisateurs connecté sur le domaineA puissent changer leur mot de passe de leur compte du domaineB, en ligne de commande ?

    J'ai essayé avec dsmod, net user et Set-AdAccountPassword, mais cela ne fonctionne pas.

    Merci par avance pour vos conseils.

    Nicolas


    Nicolas

    jeudi 6 avril 2017 08:27

Réponses

  • Et cela ne marchera pas non plus si vous n’êtes pas authentifié sur le domaine B, sachant que pour un reset, il faut avoir les droits nécessaires. Il faudra a minima ajouter le paramètre -Credential pour s'authentifier.

    Si cela ne fonctionne pas, on peut toujours utiliser un object LDAP en powershell et invoquer ChangePassword.



    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mercredi 12 avril 2017 18:23
  • Bonjour,

    Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.

    Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' 

    -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)

    Il me répond impossible de trouver l'objet avec l'identité Prénom Nom  .... sous "DC=DomaineA, DC=COM"

    ----------------------

    Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...

    Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.


    Nicolas

    Tu oublie de spécifier le serveur avec la commande Set-AdAccountPassword

    Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force) -server DC_DU_DOMAINE_B

    B.

    mercredi 12 avril 2017 13:06

Toutes les réponses

  • Bonjour nicolasw,

    Veuillez consulter le lien suivant :

    Change user password in Windows command line

    Et aussi :

    https://technet.microsoft.com/fr-fr/library/cc754395(v=ws.11).aspx

    Je vous remercie par avance pour votre retour .

    Cordialement,
    Nedeltcho

    vendredi 7 avril 2017 05:44
  • essaye en exécutant la commande dans le bon contexte.

    Càd, que l'utilisateur DomaineA ouvre une fenêtre de commande en tant qu'utilisateur du Domaine B

    runas /user:domainB\UserB cmd

    ensuite, de cette fenêtre de commande, un net-user

    net user UserB NouveauMDP
    Mais, cela risque de ne pas fonctionner du à l'pprobation tel que tu l'explique!

    B.


    dimanche 9 avril 2017 11:01
  • Merci pour votre réponse:

    alors pour la commande :

    net  user  loginid  *  /domain

    Je n'arrive pas à renseigner le domain

    net  user  loginid  *  /domain:Nom_du_DomainB

    net  user  loginid  *  /Nom_du_DomainB

    Cela ne fonctionne pas.

    Par ailleurs, pour moi la commande serai plutot 

    net user loginid *

    j'ai essayé également avec dmod:

    dsmod user "CN=Nicolas xxxxx,OU=User-test,OU=XXX,DC=domaineB,DC=com" -d DomainB.com -pwd *

    J'ai ce message d'erreur :

    => dsmod échec:CN=Nicolas xxxx,OU=User-test,OU=XXX,DC=DomainB,DC=com:Accès refusé.:La définition du mot de passe a échoué.



    Nicolas


    • Modifié nicolas_z mardi 11 avril 2017 12:52
    mardi 11 avril 2017 12:45
  • Bonjour,

    Merci pour votre réponse, en effet, je n'ai a priori pas les droits de le faire. voici le message:

    C:\Users\nxxxx>runas /user:DomainB.com\nXXXXX cmd.exe
    Entrez le mot de passe de DomainB.com\nXXXXX :

    Tentative de lancement de cmd.exe en tant qu'utilisateur "DomainB.com\nXXXXX" ...
    Erreur de RUNAS : Impossible d'exécuter - cmd.exe
    1787 : La base de données de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail
    .

    Est-il possible de le faire via un portail Web? qui inclurai les services AD ?

    Mais si cela ne fonctionne pas en ligne de commande, cela ne fonctionnera pas mieux en graphique j'imagine...

    Est-ce du à la relation d'approbation qui est en sens unique ?

    Faut il faire une relation d'approbation bi-directionnelle ?

    merci par avance pour vos retours.

    Cordialement,

    Nicolas


    Nicolas


    • Modifié nicolas_z mardi 11 avril 2017 12:52
    mardi 11 avril 2017 12:49
  • Bonjour,

    Pour changer le mot de passe d'un compte du domaine , il faut avoir la permission au niveau la délégation active directory.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mardi 11 avril 2017 16:24
  • Oui, c'est probablement dû au trust à sens unique

    Tu ne peux pas choisir le domaine avec net user

    mais avec set-aduserpassword, tu peux choir le serveur sur lequel le changement doit-être fait et fournir les credential requis sur ledit serveur.

    B.

    mardi 11 avril 2017 18:18
  • Bonjour,

    Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.

    Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' 

    -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)

    Il me répond impossible de trouver l'objet avec l'identité Prénom Nom  .... sous "DC=DomaineA, DC=COM"

    ----------------------

    Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...

    Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.


    Nicolas

    mercredi 12 avril 2017 08:36
  • Bonjour,

    Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.

    Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' 

    -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)

    Il me répond impossible de trouver l'objet avec l'identité Prénom Nom  .... sous "DC=DomaineA, DC=COM"

    ----------------------

    Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...

    Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.


    Nicolas

    Tu oublie de spécifier le serveur avec la commande Set-AdAccountPassword

    Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force) -server DC_DU_DOMAINE_B

    B.

    mercredi 12 avril 2017 13:06
  • Et cela ne marchera pas non plus si vous n’êtes pas authentifié sur le domaine B, sachant que pour un reset, il faut avoir les droits nécessaires. Il faudra a minima ajouter le paramètre -Credential pour s'authentifier.

    Si cela ne fonctionne pas, on peut toujours utiliser un object LDAP en powershell et invoquer ChangePassword.



    Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr

    mercredi 12 avril 2017 18:23