29.08.2014

12273

Ändern eines AD Passworts von einem Notebook ausserhalb der Domäne

Hallo zusammen,

folgendes Szenario. Wir haben zwei Mitarbeiter mit einem Notebook und einem lokalen Konto. In der Active Directory auf dem Domänencontroller sind die beiden aber auch mit einem Passwort hinterlegt. Wie kann ich erreichen dass der Nutzer das AD Passwort ändern kann wenn er mit seinem Notebook am Firmennetzwerk hängt? Er meldet sich dann aber immer noch lokal am Rechner an. Ich habe es mit net user xxxxx * /domain versucht aber dann sagt er er kenne die Domäne nicht. Bin über jede Hilfe dankbar.

Mfg.,

Dennis

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 247768

Url: https://administrator.de/forum/aendern-eines-ad-passworts-von-einem-notebook-ausserhalb-der-domaene-247768.html

Ausgedruckt am: 09.01.2025 um 10:01 Uhr

24 Kommentare

Neuester Kommentar

Guten Morgen.

Anmeldung: domainname\user

Gruß
ITvortex

Nachtrag: Ist der Rechner überhaupt in der Domain?

Nein der Rechner ist nicht in der Domain, das ist es ja.

Und wieso hängst du das Notebook nicht in die Domain?

Ich glaube ich verstehe erst jetzt gerade was du da vorhast *gg*

Du willst das lokale Konto mit dem AD Konto in der Zeit wo der User im Firmennetzwerk ist verbinden?

Ja, ist ein Vertriebler. Notebooks sind nach Firmenrichtlinie nicht in der Domäne.

Und das Notebook in die Dom. aufzunehmen wäre nicht möglich, weil...?

Nicht gewollt von der Firma. Muss respektiert werden.

Das wird dann so nicht funktionieren. Was für ein Sinn hätte es den eine Domäne einzurichten und diese nach außen zu sichern wenn eh sowieso jeder trotzdem darauf zugreifen kann ?

Es ist ja gerade nicht "jeder", er hat ja domain-credentials.
Dennoch wird das so nichts werden, es sei denn Du arbeitest mit Workarounds, wie remote-Kommandos (psexec), dafür bräuchtest Du jedoch Adminrechte auf den Zielsystemen.

Moin.

Zitat von @winIT3264:
Wie kann ich erreichen dass der Nutzer das AD Passwort ändern kann

Citrix am Start? OWA am Start?
Beides Möglichkeiten, per Webbrowser sein Domain-Kennwort zu ändern.

Cheers,
jsysde

P.S.:
Interner Terminalserver am Start?
Darüber ginge es auch.

Hallo jsysde,

Citrix nein, internter Terminalserver nein, OWA ja ist vorhanden bei jedem User. Bin gespannt.

@DerWoWusste

würde auch mit Workarounds arbeiten...

Moin.

Zitat von @winIT3264:
OWA ja ist vorhanden bei jedem User. Bin gespannt.

User am OWA anmelden lassen mit seinem Domain-Account => Options => Change My Password

Cheers,
jsysde

Ja, Workarounds habe ich genannt: psexec. Damit kannst Du Dein Kommando remote an einem Dom-Rechner ausführen. Oder gleich interaktiv via RDP.

Versteh nicht. Angenommen die Firma heißt Global. Domäne ist GLOBAL.LOCAL und OWA ist eine Web Anwendung. Wenn ich den Benutzer Casten Schmidt dort normal anmelde mit cscmidt@global.de dann geht das. Anmeldung akzeptiert. Wenn ich aber versuche ihn mit global.local\cschmidt@global.de oder global\cschmidt@global.de anzumelden dann akzeptiert OWA das nicht... Benutzerkonto nicht vorhanden meckert es.

Moin.

Für jeden AD-User existieren zwei Anmeldemöglichkeiten:
NETBIOSNAME\user oder user@fqdn.domain - eine Kombination von beidem ist nicht möglich.

Du müsstest ihn also als cschmidt@global.de anmelden (was ja funktioniert) oder als NETBIOSNAME\cschmidt (der NETBIOS-Name kann keinen Punkt enthalten, deswegen wäre er, wenn er beim Erstellen des AD nicht geändert wurde, bei dir LOCAL).

Cheers,
jsysde

Nöh, das funktioniert nicht. OWA verlangt in der Anmeldemaske eine eMail Adresse. Alles andere wird scheinbar nicht toleriert....

Moin.

Zitat von @winIT3264:

Nöh, das funktioniert nicht. OWA verlangt in der Anmeldemaske eine eMail Adresse. Alles andere wird scheinbar nicht
toleriert....

Welche OWA-/Exchange-Version setzt ihr denn ein?
Ausserdem:

mit cscmidt@global.de dann geht das. Anmeldung akzeptiert.

Wo also ist das Problem?

Cheers,
jsysde

P.S.:
Schau dir mal die Eigenschaften eines AD-Users an, Registerkarte ACCOUNT. Dort siehst du die nutzbaren Anmeldenamen.

Office365 (outlook.office365.com)

Wo das Problem ist? Wenn ich nur mit cschmidt@global.de in der WEB Anwendung einlogge, wie soll ich denn von dort aus das AD PAsswort ändern können?

Moin.

Zitat von @winIT3264:

Office365 (outlook.office365.com)

Wo das Problem ist? Wenn ich nur mit cschmidt@global.de in der WEB Anwendung einlogge, wie soll ich denn von dort aus das AD
PAsswort ändern können?

Klassisches Mistverständnis.

Ich bin davon ausgegangen, dass ihr den Exchange lokal stehen habt, nicht in der Cloud. Dann vergiss das mit OWA einfach wieder.

Bleibt der Weg, interaktiv per RDP, wie @DerWoWusste vorgeschlagen hat.

Cheers,
jsysde

ok, danke

Hi,
eine bescheidene Lösung könnte auch noch sein, diesen Benutzern dafür jeweils an angepasstes Script bereitzustellen.
z.B. VBscript

Nur ne einfache Lösung. Habe ich schnell mal "zusammengezimmert".
Zeilen 23 & 24 müsstest Du anpassen.

On Error Resume Next
Const ADS_SECURE_AUTHENTICATION = 1
Dim oAD : Set oAD = GetObject("LDAP:")   

Dim aPW : aPW = InputBox("Geben Sie das alte Passwort ein!", "altes Passwort", "")  
Dim nPW : nPW = ""  
Dim nPW2 : nPW2 = ""  

Do
  nPW = InputBox("Geben Sie das neue Passwort ein!", "Neues Passwort", "")  
  nPW2 = InputBox("Bestätigen Sie das neue Passwort!", "Neues Passwort", "")  
  If nPW2 <> nPW Then
    If MsgBox("Die Passwörter stimmen nicht überein!" & vbnewline & vbnewline & _  
              "Möchten Sie es erneut versuchen?", vbYesNo + vbQuestion, "Fehler") = vbNo Then  
      WScript.Quit
    End If
  Else
    Exit Do
  End If
Loop

Dim oUser : Set oUser = Nothing
Set oUser = oAD.OpenDSObject("LDAP://CN=DerBenutzer,OU=DieOrgEinheit,DC=domain,DC=tld", _  
                             "DOMAIN\Benutzer", aPW, ADS_SECURE_AUTHENTICATION)  
If Not oUser Is Nothing Then
  Err.Clear
  oUser.ChangePassword aPW, nPW
  If Err.Number = 0 Then
    MsgBox "Das Passwort wurde erfolgreich geändert", vbInformation, "Erfolgreich"  
  Else
    MsgBox "Die Änderung des Passworts ist fehlgeschlagen!", vbExclamation, "Fehler!"  
  End If
Else
  MsgBox "Anmeldung mit altem Passwort ist fehlgeschlagen!" & vbNewLine & vbNewLine & _  
         "Das Passwort wurde NICHT geändert.", vbExclamation, "Fehler!"  
End If

Set oUser = Nothing
Set oAD = Nothing
aPW = ""  
nPW = ""  
nPW2 = ""  

Mit Powershell geht das möglicherweise noch "schöner".

E.

Oh, E. das sieht aber gut aus. Führe ich das mit Admin rechten auf dem Notebook des Vertrieblers aus?

Danke

Nein, der Benutzer selbst startet das.
Er muss sein altes AD-Passwort eingeben. Dann "holt er sich" mit seinem Benutzernamen + altem Passwort sein Benutzerobjekt (Zeile 23 + 24) und ändert es von Alt auf Neu ab (Zeile 27).
Vorausgesetzt der AD-Benutzer darf sein eigenes Kennwort ändern.
E.

Funktioniert das Passwört ändern mit dem Script auch, wenn das alte abgelaufen ist?
Und wenns keine OUs in der Domäne gibt, den OU-Eintrag einfach weglassen?

Zitat von @WolfgangHD:
Funktioniert das Passwört ändern mit dem Script auch, wenn das alte abgelaufen ist?

Wenn das Passwort abgelaufen ist - ja, wenn das Konto abgelaufen ist - nein.

Und wenns keine OUs in der Domäne gibt, den OU-Eintrag einfach weglassen?

Das bedeutet, das alle Konten im "Users" liegen? Dann eben deren Distinguished Name benutzen.

Beachte: CN=Users

Dim oUser : Set oUser = Nothing 
Set oUser = oAD.OpenDSObject("LDAP://CN=DerBenutzer,CN=Users,DC=domain,DC=tld", _   
                             "DOMAIN\Benutzer", aPW, ADS_SECURE_AUTHENTICATION)   