Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Welches Privileg bestimmt, ob ein AD-User sein eigenes Kennwort per net user Name Slash domain resetten kann

Frage Microsoft Windows Userverwaltung

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.03.2014, aktualisiert 31.03.2014, 1622 Aufrufe, 5 Kommentare

Moin Kollegen!

Schwieriges Thema, nicht unterschätzen

Den Titel bitte genau lesen: es geht nicht um eine Kennwortänderung (welche jeder per default darf), sondern um Kennwort-Reset, also ein Setzen ohne vorherige Eingabe des alten Kennwortes. Ebenso geht es um geskriptetes Setzen, nicht um Setzen über die Oberfläche.

Domänenadmins dürfen das natürlich, aber welches Recht müsste ich einem Nutzer zuteilen, wenn ich wollte, dass er das auch kann? Erstaunlicherweise macht es nämlich einen Unterschied, ob man die GUI benutzt, oder net user.
In der GUI (also über die MMC mit ADUC-Snapin) gelingt es, sobald der User das Privileg "Reset password" hat, über net user kommt weiterhin "access denied". Erst wenn ich dem Benutzer Vollzugriff auf sein eigenes Objekt erteile, kann er auch über net user resetten. Aber Vollzugriff will ich dem Benutzer natürlich nicht geben

Ich hoffe nun, dass das Problem deutlich geworden ist: der Nutzer soll es auch über die Kommandozeile können und nicht die GUI nutzen müssen.
Mitglied: Snowman25
28.03.2014 um 13:14 Uhr
Hallo DerWoWusste,

kann der User denn sein Passwort ändern, wenn dies per net user <username> /PASSWORDCHG:YES gesetzt wurde?

Gruß,
Snowman25
Bitte warten ..
Mitglied: DerWoWusste
28.03.2014 um 13:57 Uhr
Nein, nicht über net user.
Es sieht mir so aus, als wäre die net.exe schlicht schlecht programmiert und würde (unnötigerweise) einen Check machen, ob Vollzugriff besteht.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 28.03.2014, aktualisiert 31.03.2014
Hi DWW,
hab vorhin auch mal ein bißchen mit den Berechtigungen dafür gespielt, und bin da auch nicht viel weiter gekommen, alternativ mach's halt mit Powershell (wenn du es damit in deinem Projekt umsetzen kannst):

Password für den gerade angemeldeten User neu setzen
01.
Function Set-AdUserPwd ([string]$user,[string]$pwd) { 
02.
    $objSearch = New-Object System.DirectoryServices.DirectorySearcher  
03.
    $objSearch.Filter = "(SamAccountName=$user)" 
04.
    $allUsers = $objSearch.FindOne() 
05.
    foreach ($user in $allUsers) { 
06.
    	$o = $user.GetDirectoryEntry() 
07.
        $o.Invoke("SetPassword",$pwd) 
08.
        $o.CommitChanges() 
09.
10.
11.
Set-AdUserPwd -user $env:USERNAME -pwd "Passw0rd"
Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
28.03.2014 um 15:43 Uhr
Sehr gut, läuft.
Pfeifen wir einfach auf die unfähige net.exe
Bitte warten ..
Mitglied: DerWoWusste
31.03.2014 um 23:43 Uhr
Sieht so aus, als wäre es wirklich etwas sonderbares, was in die net.exe eingearbeitet ist. Ich hatte nun aber nicht die Lust, alle ACL-Einträge einzeln durchzugehen, wenn man sich durch Einsatz der Powershell behelfen kann. Danke nochmals, Uwe.
Bitte warten ..
Ähnliche Inhalte
Batch & Shell
Net user mit Explizieten namen suchen
gelöst Frage von Marcel1989Batch & Shell3 Kommentare

net user /DOMAIN %username% Hier in der suche möchte ich nach keinen Teil suchen sondern expliziet nach zum beispiel ...

Windows Server
AD User Kennwort läuft nie ab befristen
Frage von DippsWindows Server6 Kommentare

Hallo, gibt es eine möglichkeit wie ich einem AD User das Häckchen befristet rein setzen kann "Kennwort läuft nie ...

Windows Server
Nslookup auf AD Domain Namen
Frage von agnostikerWindows Server13 Kommentare

Hi, Unsere 2012er AD beherbergt 3 DCs. DC1 und DC2 stehen in Standort A DC3 steht in Standort B ...

Windows Server
User können Kennwörter nicht ändern
gelöst Frage von platinWindows Server3 Kommentare

Hallo zusammen, ich habe eine frisch aufgesetzte und kaum konfigurierte Windows Domäne basierend auf Server 2012 R2. Dort habe ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 15 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...