24
Ändern eines AD Passworts von einem Notebook ausserhalb der Domäne
Hallo zusammen,
folgendes Szenario. Wir haben zwei Mitarbeiter mit einem Notebook und einem lokalen Konto. In der Active Directory auf dem Domänencontroller sind die beiden aber auch mit einem Passwort hinterlegt. Wie kann ich erreichen dass der Nutzer das AD Passwort ändern kann wenn er mit seinem Notebook am Firmennetzwerk hängt? Er meldet sich dann aber immer noch lokal am Rechner an. Ich habe es mit net user xxxxx * /domain versucht aber dann sagt er er kenne die Domäne nicht. Bin über jede Hilfe dankbar.
Mfg.,
Dennis
folgendes Szenario. Wir haben zwei Mitarbeiter mit einem Notebook und einem lokalen Konto. In der Active Directory auf dem Domänencontroller sind die beiden aber auch mit einem Passwort hinterlegt. Wie kann ich erreichen dass der Nutzer das AD Passwort ändern kann wenn er mit seinem Notebook am Firmennetzwerk hängt? Er meldet sich dann aber immer noch lokal am Rechner an. Ich habe es mit net user xxxxx * /domain versucht aber dann sagt er er kenne die Domäne nicht. Bin über jede Hilfe dankbar.
Mfg.,
Dennis
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 247768
Url: https://administrator.de/contentid/247768
Printed on: April 24, 2024 at 16:04 o'clock
24 Comments
Latest comment
Guten Morgen.
Anmeldung: domainname\user
Gruß
ITvortex
Nachtrag: Ist der Rechner überhaupt in der Domain?
Anmeldung: domainname\user
Gruß
ITvortex
Nachtrag: Ist der Rechner überhaupt in der Domain?
Nein der Rechner ist nicht in der Domain, das ist es ja.
Und wieso hängst du das Notebook nicht in die Domain?
Ich glaube ich verstehe erst jetzt gerade was du da vorhast *gg*
Du willst das lokale Konto mit dem AD Konto in der Zeit wo der User im Firmennetzwerk ist verbinden?
Ich glaube ich verstehe erst jetzt gerade was du da vorhast *gg*
Du willst das lokale Konto mit dem AD Konto in der Zeit wo der User im Firmennetzwerk ist verbinden?
Ja, ist ein Vertriebler. Notebooks sind nach Firmenrichtlinie nicht in der Domäne.
Und das Notebook in die Dom. aufzunehmen wäre nicht möglich, weil...?
Nicht gewollt von der Firma. Muss respektiert werden.
Das wird dann so nicht funktionieren. Was für ein Sinn hätte es den eine Domäne einzurichten und diese nach außen zu sichern wenn eh sowieso jeder trotzdem darauf zugreifen kann ? 
Es ist ja gerade nicht "jeder", er hat ja domain-credentials.
Dennoch wird das so nichts werden, es sei denn Du arbeitest mit Workarounds, wie remote-Kommandos (psexec), dafür bräuchtest Du jedoch Adminrechte auf den Zielsystemen.
Dennoch wird das so nichts werden, es sei denn Du arbeitest mit Workarounds, wie remote-Kommandos (psexec), dafür bräuchtest Du jedoch Adminrechte auf den Zielsystemen.
Moin.
Citrix am Start? OWA am Start?
Beides Möglichkeiten, per Webbrowser sein Domain-Kennwort zu ändern.
Cheers,
jsysde
P.S.:
Interner Terminalserver am Start?
Darüber ginge es auch.
Citrix am Start? OWA am Start?
Beides Möglichkeiten, per Webbrowser sein Domain-Kennwort zu ändern.
Cheers,
jsysde
P.S.:
Interner Terminalserver am Start?
Darüber ginge es auch.
Hallo jsysde,
Citrix nein, internter Terminalserver nein, OWA ja ist vorhanden bei jedem User. Bin gespannt.
@DerWoWusste
würde auch mit Workarounds arbeiten...
Citrix nein, internter Terminalserver nein, OWA ja ist vorhanden bei jedem User. Bin gespannt.
@DerWoWusste
würde auch mit Workarounds arbeiten...
Moin.
User am OWA anmelden lassen mit seinem Domain-Account => Options => Change My Password
Cheers,
jsysde
User am OWA anmelden lassen mit seinem Domain-Account => Options => Change My Password
Cheers,
jsysde
Ja, Workarounds habe ich genannt: psexec. Damit kannst Du Dein Kommando remote an einem Dom-Rechner ausführen. Oder gleich interaktiv via RDP.
Versteh nicht. Angenommen die Firma heißt Global. Domäne ist GLOBAL.LOCAL und OWA ist eine Web Anwendung. Wenn ich den Benutzer Casten Schmidt dort normal anmelde mit cscmidt@global.de dann geht das. Anmeldung akzeptiert. Wenn ich aber versuche ihn mit global.local\cschmidt@global.de oder global\cschmidt@global.de anzumelden dann akzeptiert OWA das nicht... Benutzerkonto nicht vorhanden meckert es.
Moin.
Für jeden AD-User existieren zwei Anmeldemöglichkeiten:
NETBIOSNAME\user oder user@fqdn.domain - eine Kombination von beidem ist nicht möglich.
Du müsstest ihn also als cschmidt@global.de anmelden (was ja funktioniert) oder als NETBIOSNAME\cschmidt (der NETBIOS-Name kann keinen Punkt enthalten, deswegen wäre er, wenn er beim Erstellen des AD nicht geändert wurde, bei dir LOCAL).
Cheers,
jsysde
Für jeden AD-User existieren zwei Anmeldemöglichkeiten:
NETBIOSNAME\user oder user@fqdn.domain - eine Kombination von beidem ist nicht möglich.
Du müsstest ihn also als cschmidt@global.de anmelden (was ja funktioniert) oder als NETBIOSNAME\cschmidt (der NETBIOS-Name kann keinen Punkt enthalten, deswegen wäre er, wenn er beim Erstellen des AD nicht geändert wurde, bei dir LOCAL).
Cheers,
jsysde
Nöh, das funktioniert nicht. OWA verlangt in der Anmeldemaske eine eMail Adresse. Alles andere wird scheinbar nicht toleriert....
Moin.
Welche OWA-/Exchange-Version setzt ihr denn ein?
Ausserdem:
Cheers,
jsysde
P.S.:
Schau dir mal die Eigenschaften eines AD-Users an, Registerkarte ACCOUNT. Dort siehst du die nutzbaren Anmeldenamen.
Zitat von @winIT3264:
Nöh, das funktioniert nicht. OWA verlangt in der Anmeldemaske eine eMail Adresse. Alles andere wird scheinbar nicht
toleriert....
Nöh, das funktioniert nicht. OWA verlangt in der Anmeldemaske eine eMail Adresse. Alles andere wird scheinbar nicht
toleriert....
Welche OWA-/Exchange-Version setzt ihr denn ein?
Ausserdem:
mit cscmidt@global.de dann geht das. Anmeldung akzeptiert.
Wo also ist das Problem?Cheers,
jsysde
P.S.:
Schau dir mal die Eigenschaften eines AD-Users an, Registerkarte ACCOUNT. Dort siehst du die nutzbaren Anmeldenamen.
Office365 (outlook.office365.com)
Wo das Problem ist? Wenn ich nur mit cschmidt@global.de in der WEB Anwendung einlogge, wie soll ich denn von dort aus das AD PAsswort ändern können?
Wo das Problem ist? Wenn ich nur mit cschmidt@global.de in der WEB Anwendung einlogge, wie soll ich denn von dort aus das AD PAsswort ändern können?
Moin.
Klassisches Mistverständnis.
Ich bin davon ausgegangen, dass ihr den Exchange lokal stehen habt, nicht in der Cloud. Dann vergiss das mit OWA einfach wieder.
Bleibt der Weg, interaktiv per RDP, wie @DerWoWusste vorgeschlagen hat.
Cheers,
jsysde
Zitat von @winIT3264:
Office365 (outlook.office365.com)
Wo das Problem ist? Wenn ich nur mit cschmidt@global.de in der WEB Anwendung einlogge, wie soll ich denn von dort aus das AD
PAsswort ändern können?
Office365 (outlook.office365.com)
Wo das Problem ist? Wenn ich nur mit cschmidt@global.de in der WEB Anwendung einlogge, wie soll ich denn von dort aus das AD
PAsswort ändern können?
Klassisches Mistverständnis.
Ich bin davon ausgegangen, dass ihr den Exchange lokal stehen habt, nicht in der Cloud. Dann vergiss das mit OWA einfach wieder.
Bleibt der Weg, interaktiv per RDP, wie @DerWoWusste vorgeschlagen hat.
Cheers,
jsysde
ok, danke
Hi,
eine bescheidene Lösung könnte auch noch sein, diesen Benutzern dafür jeweils an angepasstes Script bereitzustellen.
z.B. VBscript
Nur ne einfache Lösung. Habe ich schnell mal "zusammengezimmert".
Zeilen 23 & 24 müsstest Du anpassen.
Mit Powershell geht das möglicherweise noch "schöner".
E.
eine bescheidene Lösung könnte auch noch sein, diesen Benutzern dafür jeweils an angepasstes Script bereitzustellen.
z.B. VBscript
Nur ne einfache Lösung. Habe ich schnell mal "zusammengezimmert".
Zeilen 23 & 24 müsstest Du anpassen.
On Error Resume Next
Const ADS_SECURE_AUTHENTICATION = 1
Dim oAD : Set oAD = GetObject("LDAP:")
Dim aPW : aPW = InputBox("Geben Sie das alte Passwort ein!", "altes Passwort", "")
Dim nPW : nPW = ""
Dim nPW2 : nPW2 = ""
Do
nPW = InputBox("Geben Sie das neue Passwort ein!", "Neues Passwort", "")
nPW2 = InputBox("Bestätigen Sie das neue Passwort!", "Neues Passwort", "")
If nPW2 <> nPW Then
If MsgBox("Die Passwörter stimmen nicht überein!" & vbnewline & vbnewline & _
"Möchten Sie es erneut versuchen?", vbYesNo + vbQuestion, "Fehler") = vbNo Then
WScript.Quit
End If
Else
Exit Do
End If
Loop
Dim oUser : Set oUser = Nothing
Set oUser = oAD.OpenDSObject("LDAP://CN=DerBenutzer,OU=DieOrgEinheit,DC=domain,DC=tld", _
"DOMAIN\Benutzer", aPW, ADS_SECURE_AUTHENTICATION)
If Not oUser Is Nothing Then
Err.Clear
oUser.ChangePassword aPW, nPW
If Err.Number = 0 Then
MsgBox "Das Passwort wurde erfolgreich geändert", vbInformation, "Erfolgreich"
Else
MsgBox "Die Änderung des Passworts ist fehlgeschlagen!", vbExclamation, "Fehler!"
End If
Else
MsgBox "Anmeldung mit altem Passwort ist fehlgeschlagen!" & vbNewLine & vbNewLine & _
"Das Passwort wurde NICHT geändert.", vbExclamation, "Fehler!"
End If
Set oUser = Nothing
Set oAD = Nothing
aPW = ""
nPW = ""
nPW2 = "" Mit Powershell geht das möglicherweise noch "schöner".
E.
Oh, E. das sieht aber gut aus. Führe ich das mit Admin rechten auf dem Notebook des Vertrieblers aus?
Danke
Danke
Nein, der Benutzer selbst startet das.
Er muss sein altes AD-Passwort eingeben. Dann "holt er sich" mit seinem Benutzernamen + altem Passwort sein Benutzerobjekt (Zeile 23 + 24) und ändert es von Alt auf Neu ab (Zeile 27).
Vorausgesetzt der AD-Benutzer darf sein eigenes Kennwort ändern.
E.
Er muss sein altes AD-Passwort eingeben. Dann "holt er sich" mit seinem Benutzernamen + altem Passwort sein Benutzerobjekt (Zeile 23 + 24) und ändert es von Alt auf Neu ab (Zeile 27).
Vorausgesetzt der AD-Benutzer darf sein eigenes Kennwort ändern.
E.
1
Funktioniert das Passwört ändern mit dem Script auch, wenn das alte abgelaufen ist?
Und wenns keine OUs in der Domäne gibt, den OU-Eintrag einfach weglassen?
Und wenns keine OUs in der Domäne gibt, den OU-Eintrag einfach weglassen?
Zitat von @WolfgangHD:
Funktioniert das Passwört ändern mit dem Script auch, wenn das alte abgelaufen ist?
Wenn das Passwort abgelaufen ist - ja, wenn das Konto abgelaufen ist - nein.Funktioniert das Passwört ändern mit dem Script auch, wenn das alte abgelaufen ist?
Und wenns keine OUs in der Domäne gibt, den OU-Eintrag einfach weglassen?
Das bedeutet, das alle Konten im "Users" liegen? Dann eben deren Distinguished Name benutzen.Beachte: CN=Users
Dim oUser : Set oUser = Nothing
Set oUser = oAD.OpenDSObject("LDAP://CN=DerBenutzer,CN=Users,DC=domain,DC=tld", _
"DOMAIN\Benutzer", aPW, ADS_SECURE_AUTHENTICATION) 
