Cómo establecer la contraseña de un usuario con Ldifde

En este artículo se describe cómo establecer la contraseña de un usuario mediante la herramienta Ldifde.

Se aplica a: Windows 10 (todas las ediciones), Windows Server 2012 R2
Número de KB original: 263991

Más información

El atributo de contraseña usado por Active Directory es "unicodePwd". Este atributo se puede escribir en condiciones restringidas, pero no se puede leer. Este atributo solo se puede modificar, no se puede agregar al crear objetos ni leerlo una búsqueda.

Para modificar este atributo, el cliente debe tener una conexión cifrada SASL o capa de sockets seguros de 128 bits con el servidor. El paquete de cifrado alto debe instalarse tanto en el cliente como en el servidor.

Nota:

Si desea usar el cifrado SASL, puede usar el argumento "/h" de LDIFDE.
Cuando se usa un codificador base 64, debe asegurarse de que admite Unicode o de que va a crear una contraseña incorrecta.

Hay dos maneras de modificar el atributo unicodePwd. La primera es análoga a una operación típica de cambio de contraseña de usuario. En este caso, la solicitud de modificación debe contener una operación de eliminación y una operación de adición. La operación de eliminación debe contener la contraseña actual entre comillas y estar codificada en Base64 como se describe en RFC 1521. La operación de adición debe contener la nueva contraseña entre comillas y estar codificada en Base64.

La segunda manera de modificar el atributo es análoga a la de un administrador que restablece una contraseña para un usuario. Para ello, el cliente debe haber enlazado como administrador a un usuario que tenga derechos suficientes para modificar las contraseñas de otros usuarios. La solicitud de modificación debe contener una operación de reemplazo única con la nueva contraseña entre comillas y estar codificada en Base64. Si el cliente tiene derechos suficientes, esta contraseña se convierte en la nueva contraseña independientemente de cuál fuera la contraseña anterior.

El siguiente archivo Ldif de ejemplo (chPwd.ldif) cambia una contraseña a newPassword:

dn: CN=TestUser,DC=testdomain,DC=com
changetype: modify
replace: unicodePwd
unicodePwd::IgBuAGUAdwBQAGEAcwBzAHcAbwByAGQAIgA=
-

Para importar el archivo chPwd.ldif, use el siguiente comando:

  • SSL/TLS:
    ldifde -i -f chPwd.ldif -t 636 -s \<dcname> -b \<username> \<domain> \<password>
  • SASL:
    ldifde -i -f chPwd.ldif -h -s \<dcname> -b \<username> \<domain> \<password>

Si la contraseña no cumple los criterios de las directivas de contraseña aplicadas, se producirá un error:

Agregar error en la entrada a partir de la línea 1: No está dispuesto a realizar El error del lado servidor es "Un dispositivo conectado al sistema no funciona

Para obtener más información, consulte los documentos siguientes:
El documento "Formato de intercambio de datos LDAP (LDIF) - Especificación técnica" en el siguiente sitio web de IETF:

IETF 109 Online
RFC 1521 en el siguiente sitio web de IETF:

RFC 1521

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.