IMG 0735

Es gibt verschiedene Möglichkeiten Benutzern das Recht für die Passwortzurücksetzung zu erteilen. Doch hat jede Variante seine Vor- und Nachteile.

Zum Hintergrund:

Es existiert eine Domäne, worin mehrere Kunden in OU’s unterteilt sind. Die Anfrage eines Kunde war, ob es nicht möglich wäre, dass er für seine Kollegen die Passwörter selbst zurücksetzen kann. Dies ist natürlich möglich, aber ich wollte, dass der Kunde wirklich nur die Passwörter zurücksetzen kann und nicht die anderen Kundennamen o.ä. sieht.

Methode 1:

Zuerst versuchte ich dies über eine angepasste MMC-Konsole (eine bebilderte Anleitung findet ihr z.B. auf petenetlive.com). Leider hat dies zum einen den Nachteil, dass die AD-Tools auf der Kundenmaschine installiert werden muss und zum anderen, dass der Kunde die Domäne und somit die anderen Kundennamen sieht. Dies ist leider unvermeidbar, weil man in den angepassten MMC-Konsolen nicht das Kontextmenü ausblenden kann. Im Kontextmenü gibt es den Punkt “verschieben”, so dass hierüber wieder alle Kunden-OUs für den Kunden sichtbar wären. Jedes Objekt in der AD hat zumindest Leseberechtigung auf die gesamte Domäne.

view2

Damit war diese Lösung nicht optimal.

Methode 2:

Die zweite Wahl fiel auf ein kleine Eigenentwicklung. Diese “Lösung” ist in zwei Teile gesplittet.

  1. Die Rechte für die Benutzer vergeben
  2. Das Tool für die Rücksetzung zur Verfügung stellen

1. Rechte vergeben

Erstellt in der Kunden OU eine neue Sicherheitsgruppe. Dann ein Rechtsklick auf die Kunden OU und “Objektverwaltung zuweisen…” auswählen. In dem Assistenten wählt ihr die zuvor erstelle Sicherheitsgruppe aus. Bei den Aufgaben wird der Haken bei “Setzt Benutzerkennwörter zurück und erzwingt Kennwortänderung bei der nächsten Anmeldung”.

Dies war der erste Part. Zu Testzwecken solltet ihr noch einen Benutzer der Gruppe hinzufügen.

2. Tool: Powershell GUI

So sieht es aus:

PWReset

Der Kunde bekommt alle Benutzer in der definierten OU angezeigt und kann ganz simpel über einen Button das Passwort zurücksetzen. Die vordefinierte OU ist im Skript hinterlegt und muss natürlich angepasst werden.

$root = [ADSI]“LDAP://dc:389/ou=Kunde1,OU=Companies,dc=domain,dc=com”

Zusätzlich habe ich beim Kunden eine Batchdatei auf den Desktop gelegt, damit das Powershellfenster nicht angezeigt wird.

Batch-Inhalt:

@echo off

C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -psconsolefile “C:\Program Files\Quest Software\Management Shell for AD\ConsoleSettings.psc1″ -noexit -Windowstyle Hidden -command “. ‘D:\Reset-Password.ps1′” -windowstyle hidden

Powershell GUI Download: Reset-Password


Wenn dir dieser Artikel gefallen hat, kannst du ihn mit einem Klick auf die folgenden Buttons weiterempfehlen. Möchtest du in Zukunft keine neuen Beiträge mehr verpassen? Dann abonniere doch den RSS Feed dieses Blogs. Vielen Dank!