W jaki sposób standardowy użytkownik systemu Windows może zmienić swoje hasło z wiersza poleceń?

W systemie Windows Server 2008 R2 mam standardowego lokalnego użytkownika (niebędącego administratorem) (nie jest to konto Active Directory, chociaż serwer znajduje się w domenie), który ma dostęp do serwera tylko za pomocą usługi PowerShell Remoting. Użytkownik nie może zalogować się przez RDP.

Chciałbym, aby ten użytkownik mógł zmienić swoje hasło. Polecenie „użytkownik sieci” wymaga uprawnień administratora, nawet jeśli użytkownik próbuje zmienić własne hasło.

Jak zwykły użytkownik może zmienić swoje hasło z wiersza poleceń?

Oto kod PowerShell do robienia tego, czego szukasz z kontami domeny:

param (
    [string]$oldPassword = $( Read-Host "Old password"),
    [string]$newPassword = $( Read-Host "New password")
)

$ADSystemInfo = New-Object -ComObject ADSystemInfo
$type = $ADSystemInfo.GetType()
$user = [ADSI] "LDAP://$($type.InvokeMember('UserName', 'GetProperty', $null, $ADSystemInfo, $null))"
$user.ChangePassword( $oldPassword, $newPassword)

Dostawca ASDI obsługuje również składnię WinNT://computername/usernametej ChangePassword()metody. ADSystemInfoObiekt, jednak nie będą działać dla kont maszynowych lokalnego, tak właśnie modernizacji powyższy kod z WinNT://...składnia nie jest wykonalne.

(Czy ktoś chce zasugerować edycję kodu w / w celu rozróżnienia kont lokalnych i domenowych?)

W zupełnie innym rozwiązaniu stary NetUserChangePasswordinterfejs API będzie działał również z kontami lokalnymi (i domenowymi, pod warunkiem, że określisz nazwę domeny w składni NetBIOS):

param (
    [string]$oldPassword = $( Read-Host "Old password"),
    [string]$newPassword = $( Read-Host "New password")
)

$MethodDefinition = @'
[DllImport("netapi32.dll", CharSet = CharSet.Unicode)]
public static extern bool NetUserChangePassword(string domainname, string username, string oldPassword, string newPassword);
'@

$NetAPI32 = Add-Type -MemberDefinition $MethodDefinition -Name 'NetAPI32' -Namespace 'Win32' -PassThru

$NetAPI32::NetUserChangePassword('.', $env:username, $oldPassword, $newPassword)

Ten kod zakłada, że ​​zmieniasz hasło na komputerze lokalnym („.”).

Jest to w rzeczywistości dość proste w PowerShell:

([ADSI]'LDAP://CN=User,CN=Users,DC=domain').ChangePassword('currentpassword','newpassword')

Próbowałem obu powyższych odpowiedzi bezskutecznie, aby zmienić hasło lokalnego administratora, który nie jest przyłączony do domeny. Przeglądając komentarze, dostałem jednak to, czego potrzebowałem.

W przypadku drugiej części obecnie akceptowanej odpowiedzi chcesz zaktualizować podpis, aby używał longzamiast boolwartości zwracanej, i można je rozwiązać w dokumentacji kodów błędów systemu . W rezultacie otrzymujesz:

param (
    [string]$oldPassword = $( Read-Host "Old password"),
    [string]$newPassword = $( Read-Host "New password")
)

$MethodDefinition = @'
[DllImport("netapi32.dll", CharSet = CharSet.Unicode)]
public static extern **long** NetUserChangePassword(string domainname, string username, string oldPassword, string newPassword);
'@

$NetAPI32 = Add-Type -MemberDefinition $MethodDefinition -Name 'NetAPI32' -Namespace 'Win32' -PassThru

$NetAPI32::NetUserChangePassword('.', $env:username, $oldPassword, $newPassword)

Nie działało to jednak dla mnie. Kody błędów występowały naprzemiennie między 86 a 2221, w zależności od tego, jak skonfigurowałem parametry. Już miał się poddać i wkopać więcej w komentarze, aż w końcu odniósł sukces w:

([ADSI]'WinNT://./USERNAME').ChangePassword("OLDPASS‌​", "NEWPASS")

To absurdalne, że prosta ZMIANA lokalnego hasła administratora jest tak skomplikowana w PowerShell. Jeśli w ogóle przechowujesz bezpieczne ciągi, to musisz je zaktualizować, podając stare hasło, inaczej ryzykujesz utratą możliwości prawidłowego odszyfrowania tych bezpiecznych ciągów!