Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird beschrieben, wie Sie das Kennwort eines Benutzers mithilfe des Ldifde-Tools festlegen.
Ursprüngliche KB-Nummer: 263991
Weitere Informationen
Das von Active Directory verwendete Kennwort-Attribut lautet "unicodePwd". Dieses Attribut kann unter eingeschränkten Bedingungen geschrieben werden, kann aber nicht gelesen werden. Dieses Attribut kann nur geändert werden, nicht zur Objekterstellung hinzugefügt oder von einer Suche gelesen werden.
Um dieses Attribut zu ändern, muss der Client über eine 128-Bit-Secure Sockets Layer/Transport Layer Security(SSL/TLS)- oder SASL-verschlüsselte Verbindung mit dem Server verfügen. Das Hochverschlüsselungspaket muss sowohl auf dem Client als auch auf dem Server installiert sein.
Notiz
Wenn Sie die SASL-Verschlüsselung verwenden möchten, können Sie das Argument "/h" von LDIFDE verwenden.
Wenn Sie einen Base64-Encoder verwenden, müssen Sie sicherstellen, dass er Unicode unterstützt, oder Sie erstellen ein falsches Kennwort.
Es gibt zwei Möglichkeiten zum Ändern des UnicodePwd-Attributs. Der erste ist mit einem typischen Benutzeränderungskennwort-Vorgang vergleichbar. In diesem Fall muss die Änderungsanforderung sowohl einen Löschvorgang als auch einen Add-Vorgang enthalten. Der Löschvorgang muss das in Anführungszeichen eingeschlossene aktuelle Kennwort enthalten und base64-codiert sein, wie in RFC 1521 beschrieben. Der Add-Vorgang muss das neue Kennwort enthalten, das in Anführungszeichen eingeschlossen ist und base64-codiert sein muss.
Die zweite Möglichkeit zum Ändern des Attributs entspricht dem Zurücksetzen eines Kennworts für einen Benutzer durch einen Administrator. Dazu muss der Client als Administrator einen Benutzer gebunden haben, der über ausreichende Rechte zum Ändern der Kennwörter anderer Benutzer verfügt. Die Änderungsanforderung sollte einen einzelnen Ersetzungsvorgang mit dem neuen Kennwort enthalten, das in Anführungszeichen eingeschlossen ist und base64 codiert sein soll. Wenn der Client über ausreichende Rechte verfügt, wird dieses Kennwort unabhängig davon, was das alte Kennwort war, zum neuen Kennwort.
Die folgende Ldif-Beispieldatei (chPwd.ldif) ändert ein Kennwort in newPassword:
dn: CN=TestUser,DC=testdomain,DC=com
changetype: modify
replace: unicodePwd
unicodePwd::IgBuAGUAdwBQAGEAcwBzAHcAbwByAGQAIgA=
-
Verwenden Sie den folgenden Befehl, um die Datei chPwd.ldif zu importieren:
- SSL/TLS:
ldifde -i -f chPwd.ldif -t 636 -s \<dcname> -b \<username> \<domain> \<password> - SASL:
ldifde -i -f chPwd.ldif -h -s \<dcname> -b \<username> \<domain> \<password>
Wenn das Kennwort die Kriterien der erzwungenen Kennwortrichtlinien nicht erfüllt, wird ein Fehler ausgelöst:
Add error on entry starting on line 1: Unwilling To Perform The server-side error is "A device attached to the system is not functioning
Weitere Informationen finden Sie in den folgenden Dokumenten:
RFC 1521 auf der folgenden IETF-Website:
RFC 1521
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.