ActiveDirectoryユーザのパスワードリセットを毎回ドメインコントローラにログインして行うのは手間がかかる上、複数人がサーバ上で作業するのはセキュリティ的にもよくないため、専用PCで安全に行う。
RSAT をインストールする。
今回は、専用のPCと専用のユーザを用意する。RSATとはサーバー管理ツールでいつもの「Active Directory ユーザとコンピュータ」も含まれている。
方法①MicrosoftのHPからダウンロード
Microsoft のサイトにアクセスし、下記ダウンロードしてインストールする。
クライアント環境に合わせてダウンロードファイルを選択。64 bit なら上、32bit なら下のファイルを選択。
なお、Windows10用と記載があるが、Windows11の環境で普通に使えた。
ちなみに、削除する場合はコントロールパネル→プログラムと機能→インストールされた更新プログラムと進みKB269343 をアンインストールする。
方法②機能から追加
「設定」→「システム」→「オプション機能」を選択
rsat と検索し、RSAT:Active Directory Domain Services およびライトウェイトディレクトリサービスツールをインストールする。
パスワード変更専用ユーザを作成する。
次にドメインコントローラにログインして、パスワード変更用のユーザを適当なOU上に作成する。誤ってユーザの削除や追加をしないようにパスワードを変更する権限だけを与える。(正確には委任することとなる)所属グループは余計な権限を付与しないように Domain User のみとした。
今回はchange_pass というアカウント名で作成した。
パスワード変更権限を委任する
パスワードを変更したいユーザが格納されているOUに対して、変更をchange_pass ユーザに委任する。「Users」のOUで右クリックし、「制御の委任」を選択
下記の画面で委任するユーザを追加する。先ほど作成したパスワード変更専用ユーザのchange_passwdユーザを追加する。
「ユーザのパスワードをリセットして次回ログオン時にパスワード変更を要求する。」にチェックを入れて次へすすむ。
完了
「User」OUで右クリック→「プロパティ」→ 「セキュリティ」タブ→「詳細設定」で確認することができる。
パスワードを変更してみる。
用意したPCにchange_passwd ユーザでログインして「Active Directory ユーザとコンピュータ」を起動する。検索窓にactive と入力するとでてくる。なお、PCはもちろんドメイン参加しておく必要がある。
対象OUを開き、リセットしたいユーザで右クリックしてReset Passwordを選択
パスワードを初期化する。なお、アカウントロック解除の権限はないため、Unlock the users accout はチェックを外している。
無事変更できた。
コメント