Изменение пароля учетной записи Windows Server 2012 с Active Directory

Смена пароля AD

Это руководство описывает процедуру изменения пароля для сервера со службой домена Active Directory

Для этого откройте «Пуск» -> «Администрирование» -> «Пользователи и компьютеры Active Directory»

В новом окне, откройте раздел c именем Вашего домена, на скриншоте это «neo.adminad.ru» и нажмите на папку «Users»

Слева появится список пользователей, выберите одного из пользователей по имени и правой кнопкой мыши откройте пункт «Смена пароля. «

В окне смена пароля,

1. Введите новый пароль (пароль должен быть не меньше 8 символов)
2. Установите галочку на пункте «Требовать смену пароля при следующем входе в систему» — если требуется.
3. Разблокировать учетную запись пользователя — если пользователь был заблокирован системой.

Если все данные ввели правильно то появится окно об удачной смене пароля

Теперь мы рассмотрим процедуру изменения срока пароля для сервера со службой домена Active Directory

Срок истечения пароля AD

Откройте «Пуск» -> «Администрирование» -> «Управление групповой политикой»

Далее откроется окно «Управление групповой политикой», в блоке слева откройте дерево
«Лес: Имя Вашего домена»
-> «Домены»
-> «Имя Вашего домена»
-> «Default Domain Policy»

затем в блоке справа выберите вкладку «Параметры».

Во вкладке «Параметры» откройте вкладки «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политика учетных записей / Политика паролей»

В списке «Политика учетных записей / Политика паролей» нажмите правой кнопкой мыши на «Максимальный срок действия пароля 42 дня» и в контекстном меню выберите «Изменить»

Перед Вами откроется «Редактор управления групповыми политиками»

В этом редакторе, в блоке слева откройте дерево:

«Конфигурация компьютера» -> «Политики» -> «Конфигурация Windows» -> «Параметры безопасности» -> «Политики учетных записей» -> «Политика паролей»

В блоке справа откройте «Максимальный срок действия пароля 42 дня»

В открывшемся окне в значении «Срок истечения действия пароля» введите 0 или нужное Вам значение
Значение «0» — говорит системе о том что — функция «Срок истечения действия пароля» — отключена.
В таком режиме срок действия пароля — бесконечный.

Изменение пароля пользователя Windows Active Directory и LDS с помощью LDAP

В этой статье описывается, как изменить пароль пользователя Windows Active Directory и LDS с помощью LDAP.

Применимо к: Windows Active Directory
Исходный номер КБ: 269190

Аннотация

Пароль пользователя Windows Active Directory и LDS можно установить с помощью протокола LDAP при определенных ограничениях. В этой статье описывается, как установить или изменить атрибут пароля.

Эти действия также применяются к пользователям ADAM и LDS и объектам userProxy так же, как и к пользователям AD.

Эта статья относится к Windows 2000. Поддержка Windows 2000 заканчивается 13 июля 2010 г. Центр решений для окончания поддержки Windows 2000 — это отправная точка для планирования стратегии миграции из Windows 2000. Дополнительные сведения см. в политике жизненного циклаподдержки Майкрософт.

Дополнительная информация

Пароль хранится в базе данных AD и LDS в объекте пользователя в атрибуте unicodePwd. Этот атрибут может быть написан в ограниченных условиях, но не может быть прочитано. Атрибут можно изменить только; его нельзя добавить при создании объекта или в запросе при поиске.

Чтобы изменить этот атрибут, клиент должен иметь 128-битное подключение TLS/SSL к серверу. Зашифрованный сеанс с использованием ключей сеанса, созданных SSP, с использованием NTLM или Kerberos также приемлем при минимальной длине ключа.

Чтобы это подключение можно было использовать с помощью TLS/SSL:

• Сервер должен обладать сертификатом сервера для 128-битного подключения RSA.
• Клиент должен доверять ЦС, который вызвал сертификат сервера.
• Клиент и сервер должны иметь 128-битное шифрование.

Синтаксис атрибута unicodePwd : octet-string; однако служба каталогов ожидает, что строка октета будет содержать строку ЮНИКОДА (как указывает имя атрибута). Это означает, что любые значения этого атрибута, переданные в LDAP, должны быть строками ЮНИКОДА, закодированные в коде BER (Основные правила кодирования) в качестве октета-строки. Кроме того, строка ЮНИКОДА должна начинаться и заканчиваются кавычками, которые не являются частью нужного пароля.

Существует два возможных способа изменения атрибута unicodePwd. Первая операция аналогична обычной операции смены пароля пользователем. В этом случае запрос на изменение должен содержать операцию удаления и добавления. Операция удаления должна содержать текущий пароль с кавычками. Операция добавления должна содержать нужный новый пароль с кавычками.

Второй способ изменить этот атрибут аналогичен сбросу пароля пользователем администратором. Для этого клиент должен привязаться как пользователь с достаточными разрешениями для изменения пароля другого пользователя. Этот запрос на изменение должен содержать одну операцию замены новым нужным паролем в кавычках. Если у клиента достаточно разрешений, этот пароль становится новым паролем независимо от того, каким был старый пароль.

Следующие две функции предоставляют примеры этих операций:

Использование Netdom.exe для сброса паролей учетных записей компьютера контроллера домена Windows Server

В этой пошаговой статье описывается, как использовать Netdom.exe для сброса паролей учетных записей компьютера контроллера домена в Windows Server.

Исходная версия продукта: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 325850

Аннотация

На каждом компьютере на основе Windows хранится история паролей учетной записи компьютера, которая содержит текущие и предыдущие пароли, используемые для этой учетной записи. Когда два компьютера пытаются проверить подлинность друг с другом, а изменение текущего пароля еще не получено, Windows использует предыдущий пароль. Если последовательность изменений паролей превышает два изменения, участвующие компьютеры могут не взаимодействовать, и вы можете получить сообщения об ошибках. Например, при репликации Active Directory вы получаете сообщения об ошибке «Отказано в доступе».

Это поведение также применяется к репликации между контроллерами домена одного домена. Если контроллеры домена, не реплицируемые, находятся в двух разных доменах, более внимательно посмотрите на отношение доверия.

С помощью оснастки «Пользователи и компьютеры Active Directory» нельзя изменить пароль учетной записи компьютера. Но вы можете сбросить пароль с помощью Netdom.exe средства. Средство Netdom.exe входит в состав средств поддержки Windows для Windows Server 2003, Windows Server 2008 R2 и Windows Server 2008.

Средство Netdom.exe сбрасывает пароль учетной записи на компьютере локально (известный как локальный секрет). Оно записывает это изменение в объект учетной записи компьютера на контроллере домена Windows, который находится в том же домене. Одновременное написание нового пароля в обоих местах гарантирует синхронизацию по крайней мере двух компьютеров, участвующих в операции. Запуск репликации Active Directory гарантирует, что изменения получат другие контроллеры домена.

В следующей процедуре описывается использование команды netdom для сброса пароля учетной записи компьютера. Эта процедура чаще всего используется на контроллерах домена, но также применяется к любой учетной записи компьютера с Windows.

Средство необходимо запускать локально на компьютере под windows, пароль которого вы хотите изменить. Кроме того, для запуска Netdom.exe необходимо иметь разрешения администратора локально и на объекте учетной записи компьютера в Active Directory.

Использование Netdom.exe для сброса пароля учетной записи компьютера

Установите средства поддержки Windows Server 2003 на контроллере домена, пароль которого необходимо сбросить. Эти средства находятся в папке на Support\Tools компакт-диске Windows Server 2003. Чтобы установить эти средства, щелкните правой кнопкой мыши файл Suptools.msi папки и выберите Support\Tools «Установить».

Этот шаг не требуется в Windows Server 2008, Windows Server 2008 R2 или более поздней версии, так как средство Netdom.exe включено в эти выпуски Windows.

Если вы хотите сбросить пароль для контроллера домена Windows, необходимо остановить службу центра распространения ключей Kerberos и установить для нее тип запуска Manual.

• После перезапуска и проверки успешного сброса пароля можно перезапустить службу центра распространения ключей (KDC) Kerberos и установить для ее типа запуска значение «Автоматически». Это заставляет контроллер домена с неправильным паролем учетной записи компьютера обращаться к другому контроллеру домена за билетом Kerberos.
• Может потребоваться отключить службу центра распространения ключей Kerberos на всех контроллерах домена, кроме одного. Если это возможно, не отключать контроллер домена, который имеет глобальный каталог, если у него нет проблем.

Удалите кэш билетов Kerberos на контроллере домена, где вы получаете ошибки. Это можно сделать, перезагрузив компьютер или используя средства KLIST, Kerbtest или KerbTray. KLIST входит в состав Windows Server 2008 и Windows Server 2008 R2. Для Windows Server 2003 KLIST доступен для бесплатной загрузки в комплекте ресурсов Windows Server 2003 Resource Kit Tools.

В командной подсказке введите следующую команду:

Описание этой команды:

/s: — имя контроллера домена, используемого для настройки пароля учетной записи компьютера. Это сервер, на котором работает KDC.

/ud: — это учетная запись пользователя, которая создает подключение к домену, указанному в /s параметре. Он должен быть в формате домен\пользователь. Если этот параметр опущен, используется текущая учетная запись пользователя.

/pd:* указывает пароль учетной записи пользователя, указанной в /ud параметре. Для запроса пароля используйте звездочку (*). Например, локальный компьютер контроллера домена — Server1, а одноранговой контроллер домена Windows — Server2. Если вы запустите Netdom.exe Server1 со следующими параметрами, пароль будет изменен локально и одновременно записан на сервере Server2. Репликация распространяет изменения на другие контроллеры домена:

Перезапустите сервер, пароль которого был изменен. В этом примере это Server1.

Изменение пароля у доменной корпоративной учетной записи

С помощью следующих способов можно изменить пароль только у учетных записей, от которых известен текущий пароль.

Если срок действия Вашего пароля ещё не истек:

• Если Ваш рабочий компьютер работает под управлением ОС семейства Windows и является членом домена at.urfu.ru, то Вам требуется воспользоваться первым способом.
• Если Ваш рабочий компьютер не является членом домена at.urfu.ru, то Вам требуется воспользоваться вторым способом.

Если срок действия Вашего пароля уже истек:

• Если Ваш рабочий компьютер работает под управлением ОС семейства Windows и является членом домена at.urfu.ru, то при очередной загрузке компьютера форма смены пароля откроется автоматически. Можете сразу переходить к пункту 6 Способа 1.
• Если Ваш рабочий компьютер не является членом домена at.urfu.ru, то Вам требуется воспользоваться вторым способом. С одним замечанием: при входе в «Профиль пользователя», сразу после ввода текущего логина-пароля, диалоговое окно смены пароля откроется автоматически, значит пункт 3 Способа 2 Вы можете пропустить.

Способ 1.

1. Включите компьютер.
2. После загрузки Windows, введите логин и пароль учетной записи, у которой хотите сменить пароль.
3. Откроется рабочий стол Windows пользователя, соответствующего этой учетной записи.
4. Нажмите одновременно три кнопки на клавиатуре Ctrl, Alt и Delete.
5. Выберите пункт «Изменить пароль». В различных версиях ОС Windows этот пункт может называться по-другому: «Сменить пароль пользователя», «Смена пароля».
6. Откроется форма смены пароля. В первое поле нужно вписать старый пароль текущей учетной записи.
7. Во второе поле нужно вписать новый(желаемый) пароль. Пароль должен соответствовать минимальным требованиям к паролям учетных записей в домене .
8. В третье поле нужно вписать новый пароль, т.е. то что Вы вписали во второе поле.
9. После заполнения полей нажмите на клавиатуре клавишу «Enter».
10. Будет выдано информационное сообщение об успешности изменения пароля. Старый пароль больше не действителен, после следующей перезагрузке компьютера, для входа нужно использовать новый пароль.

Способ 2.

1. Зайдите на сайт самообслуживания, в «Профиль пользователя»: https://id.urfu.ru/ProfileManagement/Profile .
2. Введите логин и пароль учетной записи, у которой хотите сменить пароль.
3. Откроется профиль пользователя. Нажмите на ссылку смена пароля.
4. Откроется диалоговое окно смены пароля.
5. В поле «старый пароль» впишите текущий пароль от учетной записи.
6. В поле «новый пароль» впишите новый(желаемый) пароль. Пароль должен соответствовать минимальным требованиям к паролям учетных записей в домене .
7. В поле «подтверждение пароля» впишите новый пароль, т.е. то что Вы вписали в поле «Новый пароль».
8. Нажмите «Изменить».
9. Откроется страница «Профиль пользователя». Это значит, Ваш текущий пароль сменен на новый. Старый пароль больше не действителен. Для входа в корпоративные системы используйте новый пароль.
10. Если Вы используете Outlook для подключения к корпоративной почте, то после смены пароля Outlook, возможно, запросит ввести новый пароль. При следующем запуске Outlook, будет выведено диалоговое окно, в которое надо ввести Ваши логин и новый пароль. После установки галочки «Запомнить пароль», Outlook больше не будет выводить это диалоговое окно.

Минимальные требования к паролям учетных записей в домене