Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Welches Privileg bestimmt, ob ein AD-User sein eigenes Kennwort per net user Name Slash domain resetten kann

Frage Microsoft Windows Userverwaltung

Mitglied: DerWoWusste

DerWoWusste (Level 5) - Jetzt verbinden

28.03.2014, aktualisiert 31.03.2014, 1618 Aufrufe, 5 Kommentare

Moin Kollegen!

Schwieriges Thema, nicht unterschätzen

Den Titel bitte genau lesen: es geht nicht um eine Kennwortänderung (welche jeder per default darf), sondern um Kennwort-Reset, also ein Setzen ohne vorherige Eingabe des alten Kennwortes. Ebenso geht es um geskriptetes Setzen, nicht um Setzen über die Oberfläche.

Domänenadmins dürfen das natürlich, aber welches Recht müsste ich einem Nutzer zuteilen, wenn ich wollte, dass er das auch kann? Erstaunlicherweise macht es nämlich einen Unterschied, ob man die GUI benutzt, oder net user.
In der GUI (also über die MMC mit ADUC-Snapin) gelingt es, sobald der User das Privileg "Reset password" hat, über net user kommt weiterhin "access denied". Erst wenn ich dem Benutzer Vollzugriff auf sein eigenes Objekt erteile, kann er auch über net user resetten. Aber Vollzugriff will ich dem Benutzer natürlich nicht geben

Ich hoffe nun, dass das Problem deutlich geworden ist: der Nutzer soll es auch über die Kommandozeile können und nicht die GUI nutzen müssen.
Mitglied: Snowman25
28.03.2014 um 13:14 Uhr
Hallo DerWoWusste,

kann der User denn sein Passwort ändern, wenn dies per net user <username> /PASSWORDCHG:YES gesetzt wurde?

Gruß,
Snowman25
Bitte warten ..
Mitglied: DerWoWusste
28.03.2014 um 13:57 Uhr
Nein, nicht über net user.
Es sieht mir so aus, als wäre die net.exe schlicht schlecht programmiert und würde (unnötigerweise) einen Check machen, ob Vollzugriff besteht.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 28.03.2014, aktualisiert 31.03.2014
Hi DWW,
hab vorhin auch mal ein bißchen mit den Berechtigungen dafür gespielt, und bin da auch nicht viel weiter gekommen, alternativ mach's halt mit Powershell (wenn du es damit in deinem Projekt umsetzen kannst):

Password für den gerade angemeldeten User neu setzen
01.
Function Set-AdUserPwd ([string]$user,[string]$pwd) { 
02.
    $objSearch = New-Object System.DirectoryServices.DirectorySearcher  
03.
    $objSearch.Filter = "(SamAccountName=$user)" 
04.
    $allUsers = $objSearch.FindOne() 
05.
    foreach ($user in $allUsers) { 
06.
    	$o = $user.GetDirectoryEntry() 
07.
        $o.Invoke("SetPassword",$pwd) 
08.
        $o.CommitChanges() 
09.
10.
11.
Set-AdUserPwd -user $env:USERNAME -pwd "Passw0rd"
Grüße Uwe
Bitte warten ..
Mitglied: DerWoWusste
28.03.2014 um 15:43 Uhr
Sehr gut, läuft.
Pfeifen wir einfach auf die unfähige net.exe
Bitte warten ..
Mitglied: DerWoWusste
31.03.2014 um 23:43 Uhr
Sieht so aus, als wäre es wirklich etwas sonderbares, was in die net.exe eingearbeitet ist. Ich hatte nun aber nicht die Lust, alle ACL-Einträge einzeln durchzugehen, wenn man sich durch Einsatz der Powershell behelfen kann. Danke nochmals, Uwe.
Bitte warten ..
Ähnliche Inhalte
Microsoft Office
gelöst Wird ein Cloud-User durch AD-Sync überschrieben (2)

Frage von olimo zum Thema Microsoft Office ...

Windows Userverwaltung
Gleiches Benutzerprofil für alle Domain-User auf einem Rechner (5)

Frage von Micky65 zum Thema Windows Userverwaltung ...

Windows Server
Nslookup auf AD Domain Namen (13)

Frage von agnostiker zum Thema Windows Server ...

Microsoft Office
Excelsheet gesperrt durch nicht mehr vorhandenen AD-User (5)

Frage von Dopamin85 zum Thema Microsoft Office ...

Neue Wissensbeiträge
Viren und Trojaner

Link: Neues Botnetz über IoT-Geräte

Information von certifiedit.net zum Thema Viren und Trojaner ...

Ubuntu

Ubuntu 17.10 steht zum Download bereit

(3)

Information von Frank zum Thema Ubuntu ...

Datenschutz

Autofahrer-Pranger - Bewertungsportal illegal

(8)

Information von BassFishFox zum Thema Datenschutz ...

Windows 10

Neues Win10 Funktionsupdate verbuggt RemoteApp

(8)

Information von thomasreischer zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Windows Server
Frage zu Server Rack (11)

Frage von rainergugus zum Thema Windows Server ...

Windows Installation
Windows 10 neu installieren (10)

Frage von imebro zum Thema Windows Installation ...

Switche und Hubs
gelöst VLAN für Gäste WLAN einrichten über FritzBox und Switch (10)

Frage von Elo-14 zum Thema Switche und Hubs ...