Remove From My Forums

Modifider mot de passe activedirertory d'un autre domaine en ligne de commande

Question
2

Connectez-vous pour voter

Bonjour,

Je suis depuis plusieurs jours sur différents problèmes, et je m'en remets à votre aide.

J'ai 2 domaines: domaineA et domaineB.

Il y a un trust à sens unique, dans Domaines et Approbations ActiveDirectory du domaineB, il y a une approbation sortantes vers le domaineA.

Question:

Est-il possible que les utilisateurs connecté sur le domaineA puissent changer leur mot de passe de leur compte du domaineB, en ligne de commande ?

J'ai essayé avec dsmod, net user et Set-AdAccountPassword, mais cela ne fonctionne pas.

Merci par avance pour vos conseils.

Nicolas

Nicolas

jeudi 6 avril 2017 08:27

Réponses

3

Connectez-vous pour voter
Et cela ne marchera pas non plus si vous n’êtes pas authentifié sur le domaine B, sachant que pour un reset, il faut avoir les droits nécessaires. Il faudra a minima ajouter le paramètre -Credential pour s'authentifier.

Si cela ne fonctionne pas, on peut toujours utiliser un object LDAP en powershell et invoquer ChangePassword.

Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 18:23
2

Connectez-vous pour voter
Bonjour,

Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.

Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com'

-Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)

Il me répond impossible de trouver l'objet avec l'identité Prénom Nom .... sous "DC=DomaineA, DC=COM"

----------------------

Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...

Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.

Nicolas

Tu oublie de spécifier le serveur avec la commande Set-AdAccountPassword

Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force) -server DC_DU_DOMAINE_B

B.
- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 13:06

Toutes les réponses

1

Connectez-vous pour voter

Bonjour nicolasw,

Veuillez consulter le lien suivant :

Change user password in Windows command line

Et aussi :

https://technet.microsoft.com/fr-fr/library/cc754395(v=ws.11).aspx

Je vous remercie par avance pour votre retour .

Cordialement,
Nedeltcho

vendredi 7 avril 2017 05:44
2

Connectez-vous pour voter
essaye en exécutant la commande dans le bon contexte.

Càd, que l'utilisateur DomaineA ouvre une fenêtre de commande en tant qu'utilisateur du Domaine B

runas /user:domainB\UserB cmd

ensuite, de cette fenêtre de commande, un net-user

net user UserB NouveauMDP
Mais, cela risque de ne pas fonctionner du à l'pprobation tel que tu l'explique!

B.
- Modifié Bawilanemo dimanche 9 avril 2017 11:02
dimanche 9 avril 2017 11:01
3

Connectez-vous pour voter
Merci pour votre réponse:

alors pour la commande :

net user loginid * /domain

Je n'arrive pas à renseigner le domain

net user loginid * /domain:Nom_du_DomainB

net user loginid * /Nom_du_DomainB

Cela ne fonctionne pas.

Par ailleurs, pour moi la commande serai plutot

net user loginid *

j'ai essayé également avec dmod:

dsmod user "CN=Nicolas xxxxx,OU=User-test,OU=XXX,DC=domaineB,DC=com" -d DomainB.com -pwd *

J'ai ce message d'erreur :

=> dsmod échec:CN=Nicolas xxxx,OU=User-test,OU=XXX,DC=DomainB,DC=com:Accès refusé.:La définition du mot de passe a échoué.

Nicolas
- Modifié nicolas_z mardi 11 avril 2017 12:52
mardi 11 avril 2017 12:45
3

Connectez-vous pour voter
Bonjour,

Merci pour votre réponse, en effet, je n'ai a priori pas les droits de le faire. voici le message:

C:\Users\nxxxx>runas /user:DomainB.com\nXXXXX cmd.exe
Entrez le mot de passe de DomainB.com\nXXXXX :

Tentative de lancement de cmd.exe en tant qu'utilisateur "DomainB.com\nXXXXX" ...
Erreur de RUNAS : Impossible d'exécuter - cmd.exe
1787 : La base de données de sécurité du serveur n'a pas de compte d'ordinateur pour la relation d'approbation avec cette station de travail
.

Est-il possible de le faire via un portail Web? qui inclurai les services AD ?

Mais si cela ne fonctionne pas en ligne de commande, cela ne fonctionnera pas mieux en graphique j'imagine...

Est-ce du à la relation d'approbation qui est en sens unique ?

Faut il faire une relation d'approbation bi-directionnelle ?

merci par avance pour vos retours.

Cordialement,

Nicolas

Nicolas
- Modifié nicolas_z mardi 11 avril 2017 12:52
mardi 11 avril 2017 12:49
2

Connectez-vous pour voter

Bonjour,

Pour changer le mot de passe d'un compte du domaine , il faut avoir la permission au niveau la délégation active directory.

Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

mardi 11 avril 2017 16:24
2

Connectez-vous pour voter

Oui, c'est probablement dû au trust à sens unique

Tu ne peux pas choisir le domaine avec net user

mais avec set-aduserpassword, tu peux choir le serveur sur lequel le changement doit-être fait et fournir les credential requis sur ledit serveur.

B.

mardi 11 avril 2017 18:18
2

Connectez-vous pour voter

Bonjour,

Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.

Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com'

-Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)

Il me répond impossible de trouver l'objet avec l'identité Prénom Nom .... sous "DC=DomaineA, DC=COM"

----------------------

Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...

Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.

Nicolas

mercredi 12 avril 2017 08:36
2

Connectez-vous pour voter
Bonjour,

Avec la commande Set-ADAccountPassword, je n'arrive pas à spécifier un autre contrôleur de domaine, d'un autre domaine. J'ai beau avoir mis en dur le domaineB.

Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com'

-Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force)

Il me répond impossible de trouver l'objet avec l'identité Prénom Nom .... sous "DC=DomaineA, DC=COM"

----------------------

Je pensais en effet, à la délégation de contrôle. Je vais regarder cela. mais ca m'embete de donner ces droits aux utilisateurs. Puisque techniquement, en faisant CTRL + alt + sUPPR sur un poste du domaineB, ils peuvent changer leur mot de passe, sans droit supplémentaire...

Je ne sais pas trop quoi mettre en oeuvre, dans un souci de sécurité.

Nicolas

Tu oublie de spécifier le serveur avec la commande Set-AdAccountPassword

Set-ADAccountPassword 'CN=Prénom Nom,OU=XXX,OU=XXXXXXXX,OU=XXXX,DC=DomainB,DC=com' -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "mot-de-passe" -Force) -server DC_DU_DOMAINE_B

B.
- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 13:06
3

Connectez-vous pour voter
Et cela ne marchera pas non plus si vous n’êtes pas authentifié sur le domaine B, sachant que pour un reset, il faut avoir les droits nécessaires. Il faudra a minima ajouter le paramètre -Credential pour s'authentifier.

Si cela ne fonctionne pas, on peut toujours utiliser un object LDAP en powershell et invoquer ChangePassword.

Bruce Jourdain de Coutance - Consultant MVP Exchange http://blog.brucejdc.fr
- Marqué comme réponse Teodora Sharkova mercredi 19 avril 2017 09:15
mercredi 12 avril 2017 18:23

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Modifider mot de passe activedirertory d'un autre domaine en ligne de commande

Question

Réponses

Toutes les réponses