Сброс пароля пользователя AD с помощью PowerShell Issue

Question

Я проверял способ сброса пароля пользователя AD с помощью PowerShell и обнаружил, что Set-ADAccountPassword работает, однако я не уверен, как бы я использовал это в своей среде.

У меня естьлес с множеством поддоменов: example.local в качестве основного домена и x.example.local, y.example.com и z.example.com в качестве поддоменов.

Я пытаюсь добиться возможности сброса пароляучетной записи субдомена, с сервера, находящегося в родительском домене. На данный момент у меня работают следующие вещи.

Если работает с сервера, находящегося в субдомене x.example.local:

Set-ADAccountPassword -Identity "John.Doe" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "ABCD1234" -Force)

Работа из любого места в лесу:

Set-ADAccountPassword -Identity "CN=Doe, John X.,OU=b,OU=a,DC=x,DC=example,DC=local" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "ABCD1234" -Force)

Что мне действительно нужно, так это возможность вставить имя пользователя Windows * в сценарий, как показано ниже, от родительского серверадомен то есть example.local, который, кстати, не работает.

Set-ADAccountPassword -Identity "CN=John.Doe,OU=b,OU=a,DC=x,DC=example,DC=local" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "ABCD1234" -Force)

Как мне этого добиться?

Answer 1

Я думаю, что в других ответах есть некоторая путаница, и я надеюсь исправить их.

Если я понимаю ваш вопрос, вы хотите использовать имя учетной записи Sam вместо DN для пользователя.

Попробуйте это.

Set-ADAccountPassword -Identity "Jdoe" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "ABCD1234" -Force)

с JDOE, являющимся идентификатором входа в систему John Doe.Если вы хотите сделать это в другом домене, добавьте опцию -server.Для домена childdomain.MyDomain.local сделайте это следующим образом:

Set-ADAccountPassword -Identity "Jdoe" -Reset -server ChilDomain.MyDomain.Local -NewPassword (ConvertTo-SecureString -AsPlainText "ABCD1234" -Force)

В отличие от одного из сделанных комментариев, только потому, что у вас есть доверие, не означает, что у вас будут разрешения на изменение паролей вцелевой домен.

Ваша учетная запись AD, в которой вы запускаете этот процесс, должна иметь это разрешение либо путем членства в локальной группе администраторов другого домена на DC, либо путем конкретного добавления в AD в другом домене с помощью политики (или непосредственно применяется к подразделению в пользовательском домене и т. д.), или к администратору предприятия.

Вы, конечно, можете использовать CN для пользователя в другом домене, но имейте в виду, чтоCN будет отличаться для каждого домена.

Answer 2

Я считаю, что командлеты PowerShell для AD глупы в средах с несколькими доменами.Они не могут определить доверенные домены.Вы должны явно указать их в домене.Вы делаете это с параметром -Server, где вы даете ему полное доменное имя (или конкретный DC, если хотите).

Так что в вашем случае это будет означать:

Set-ADAccountPassword -Server x.example.local -Identity "CN=John.Doe,OU=b,OU=a,DC=x,DC=example,DC=local" -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "ABCD1234" -Force)