Festlegen des Kennworts eines Benutzers mit Ldifde
In diesem Artikel wird beschrieben, wie Sie das Kennwort eines Benutzers mithilfe des Ldifde-Tools festlegen.
Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 263991
Weitere Informationen
Das von Active Directory verwendete Kennwortsattribut ist "unicodePwd". Dieses Attribut kann unter eingeschränkten Bedingungen geschrieben, aber nicht gelesen werden. Dieses Attribut kann nur geändert, nicht bei der Objekterstellung hinzugefügt oder durch eine Suche gelesen werden.
Um dieses Attribut zu ändern, muss der Client über eine 128-Bit-Secure Sockets Layer/Transport Layer Security (SSL/TLS) oder SASL-verschlüsselte Verbindung mit dem Server verfügen. Das High Encryption-Paket muss sowohl auf dem Client als auch auf dem Server installiert sein.
Hinweis
Wenn Sie die SASL-Verschlüsselung verwenden möchten, können Sie das Argument "/h" von LDIFDE verwenden.
Wenn Sie einen Base64-Encoder verwenden, müssen Sie sicherstellen, dass dieser Unicode unterstützt. Andernfalls erstellen Sie ein falsches Kennwort.
Es gibt zwei Möglichkeiten, das unicodePwd-Attribut zu ändern. Die erste ist analog zu einem typischen Vorgang zum Ändern des Kennworts durch Den Benutzer. In diesem Fall muss die Änderungsanforderung sowohl einen Löschvorgang als auch einen Add-Vorgang enthalten. Der Löschvorgang muss das aktuelle Kennwort in Anführungszeichen enthalten und base64-codiert sein, wie in RFC 1521 beschrieben. Der Add-Vorgang muss das neue Kennwort in Anführungszeichen enthalten und Base64-codiert sein.
Die zweite Möglichkeit zum Ändern des Attributs entspricht dem Zurücksetzen eines Kennworts für einen Benutzer durch einen Administrator. Dazu muss der Client als Administrator einen Benutzer gebunden haben, der über ausreichende Rechte zum Ändern der Kennwörter anderer Benutzer verfügt. Die Änderungsanforderung sollte einen einzelnen Ersetzungsvorgang mit dem neuen Kennwort enthalten, das in Anführungszeichen eingeschlossen und Base64-codiert ist. Wenn der Client über ausreichende Rechte verfügt, wird dieses Kennwort unabhängig davon, was das alte Kennwort war, zum neuen Kennwort.
Die folgende Ldif-Beispieldatei (chPwd.ldif) ändert ein Kennwort in newPassword:
dn: CN=TestUser,DC=testdomain,DC=com
changetype: modify
replace: unicodePwd
unicodePwd::IgBuAGUAdwBQAGEAcwBzAHcAbwByAGQAIgA=
-
Verwenden Sie den folgenden Befehl, um die Datei chPwd.ldif zu importieren:
- SSL/TLS:
ldifde -i -f chPwd.ldif -t 636 -s \<dcname> -b \<username> \<domain> \<password> - SASL:
ldifde -i -f chPwd.ldif -h -s \<dcname> -b \<username> \<domain> \<password>
Wenn das Kennwort die Kriterien der erzwungenen Kennwortrichtlinien nicht erfüllt, wird ein Fehler ausgelöst:
Fehler beim Eintrag hinzufügen, der in Zeile 1 beginnt: Nicht ausführen. Der serverseitige Fehler lautet "Ein an das System angefügtes Gerät funktioniert nicht.
Weitere Informationen finden Sie in den folgenden Dokumenten:
Das Dokument "LDAP Data Interchange Format (LDIF) - Technical Specification" auf der folgenden IETF-Website:
IETF 109 Online
RFC 1521 auf der folgenden IETF-Website:
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für