Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Welches Privileg bestimmt, ob ein AD-User sein eigenes Kennwort per net user Name Slash domain resetten kann

Frage Microsoft Windows Userverwaltung

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.03.2014, aktualisiert 31.03.2014, 1615 Aufrufe, 5 Kommentare

Moin Kollegen!

Schwieriges Thema, nicht unterschätzen

Den Titel bitte genau lesen: es geht nicht um eine Kennwortänderung (welche jeder per default darf), sondern um Kennwort-Reset, also ein Setzen ohne vorherige Eingabe des alten Kennwortes. Ebenso geht es um geskriptetes Setzen, nicht um Setzen über die Oberfläche.

Domänenadmins dürfen das natürlich, aber welches Recht müsste ich einem Nutzer zuteilen, wenn ich wollte, dass er das auch kann? Erstaunlicherweise macht es nämlich einen Unterschied, ob man die GUI benutzt, oder net user.
In der GUI (also über die MMC mit ADUC-Snapin) gelingt es, sobald der User das Privileg "Reset password" hat, über net user kommt weiterhin "access denied". Erst wenn ich dem Benutzer Vollzugriff auf sein eigenes Objekt erteile, kann er auch über net user resetten. Aber Vollzugriff will ich dem Benutzer natürlich nicht geben

Ich hoffe nun, dass das Problem deutlich geworden ist: der Nutzer soll es auch über die Kommandozeile können und nicht die GUI nutzen müssen.
Mitglied: Snowman25
28.03.2014 um 13:14 Uhr
Hallo DerWoWusste,

kann der User denn sein Passwort ändern, wenn dies per net user <username> /PASSWORDCHG:YES gesetzt wurde?

Gruß,
Snowman25
Bitte warten ..
Mitglied: DerWoWusste
28.03.2014 um 13:57 Uhr
Nein, nicht über net user.
Es sieht mir so aus, als wäre die net.exe schlicht schlecht programmiert und würde (unnötigerweise) einen Check machen, ob Vollzugriff besteht.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 28.03.2014, aktualisiert 31.03.2014
Hi DWW,
hab vorhin auch mal ein bißchen mit den Berechtigungen dafür gespielt, und bin da auch nicht viel weiter gekommen, alternativ mach's halt mit Powershell (wenn du es damit in deinem Projekt umsetzen kannst):

Password für den gerade angemeldeten User neu setzen
01.
Function Set-AdUserPwd ([string]$user,[string]$pwd) { 
02.
    $objSearch = New-Object System.DirectoryServices.DirectorySearcher  
03.
    $objSearch.Filter = "(SamAccountName=$user)" 
04.
    $allUsers = $objSearch.FindOne() 
05.
    foreach ($user in $allUsers) { 
06.
    	$o = $user.GetDirectoryEntry() 
07.
        $o.Invoke("SetPassword",$pwd) 
08.
        $o.CommitChanges() 
09.
10.
11.
Set-AdUserPwd -user $env:USERNAME -pwd "Passw0rd"
Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
28.03.2014 um 15:43 Uhr
Sehr gut, läuft.
Pfeifen wir einfach auf die unfähige net.exe
Bitte warten ..
Mitglied: DerWoWusste
31.03.2014 um 23:43 Uhr
Sieht so aus, als wäre es wirklich etwas sonderbares, was in die net.exe eingearbeitet ist. Ich hatte nun aber nicht die Lust, alle ACL-Einträge einzeln durchzugehen, wenn man sich durch Einsatz der Powershell behelfen kann. Danke nochmals, Uwe.
Bitte warten ..
Ähnliche Inhalte
Windows Server
gelöst AD-User einer AD-Gruppe auslesen und in ein File schreiben (15)

Frage von Estefania zum Thema Windows Server ...

Microsoft Office
gelöst Wird ein Cloud-User durch AD-Sync überschrieben (2)

Frage von olimo zum Thema Microsoft Office ...

Windows Userverwaltung
Gleiches Benutzerprofil für alle Domain-User auf einem Rechner (5)

Frage von Micky65 zum Thema Windows Userverwaltung ...

Windows Server
Nslookup auf AD Domain Namen (13)

Frage von agnostiker zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Tools

Zeit für Energiesparmodus, Bildschirmabschaltung etc. schnell anpassen

Anleitung von hannsgmaulwurf zum Thema Windows Tools ...

Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(4)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Heiß diskutierte Inhalte
Outlook & Mail
Dumme Sache - Userin hat Abwesenheitsnotz in Outlook vergessen (25)

Frage von 1410640014 zum Thema Outlook & Mail ...

Router & Routing
Grundkonfiguration Firewall und L3 Switch? (22)

Frage von Maik20 zum Thema Router & Routing ...

Firewall
Richtige Grundeinstellungen der Pfsense für mein Netzwerk (15)

Frage von Spitzbube zum Thema Firewall ...