Passwörter zurücksetzen (2k3 Domäne)

[Black_Eagle 10]

Hi Leute.

 

Vorweg: Ich hoffe ich bin hier richtig, ich konnte mich nicht zwischen dem Forum und Scripting entscheiden. Aber lest erstmal ;)

 

Ich habe mal ne Frage, bzw ein Problem.

 

Und zwar geht es um ein Netzwerk in einer Schule. Es kommt ja immer mal wieder vor das Schüler ihr Passwort vergessen. Da ich keine Lust und Zeit habe von den ganzen Schülern ihre vergessenen Passwörter zurückzusetzen, sollen die Lehrer das auch können (Ausserdem wollen sie das auch).

(Info: Im AD gibts auch 2 OU: Schüler und Lehrer)

 

Allerdings sollen die Lehrer NICHT auf den Server. Weder per Remote Desktop, noch hingehen. Das wäre eh zu kompliziert für sie.

 

Ich dachte dann an ein Script. Ich habe auch eins geschrieben was auf dem Server auch funktioniert. Man muss in der sich öffnenden Konsole nur den Loginnamen des Schülers eingeben. Dann bekommt man noch einmal eine Anzeige wie der Schüler heißt und in welcher Klasse er ist um irrtümer auszuschliessen. Bestätigt man diese Abfrage wird das Passwort auf eine definiertes Standardpasswort zurückgesetzt und der Schüler muss es bei der nächsten Anmeldung wieder ändern. (Script mit den Befehlen dsmod, ... geschrieben)

 

Wie gesagt. Dies geht aber nur wenn man es auf dem Server ausführt.

 

Ich suche aber eine Möglichkeit wie die Lehrer so etwas von ihrem Rechner tun können (Verknüpfung der .bat Datei funktioniert ja leider nicht ;) ).

Wichtig: Es muss kein Script sein. Für andere Vorschläge bin ich auch dankbar. Es muss nur für die Benutzer so einfach wie möglich sein.

 

Ich poste trotzdem mal das Script falls es helfen sollte. (PS: Ich hab wirklich KEINE Erfahrung mit so etwas, also ist es auch nicht irgendwie elegant gelöst.)

 

@echo off
:start
cls

set /p DN=Bitte LOGIN Namen (Anmeldenamen) des Schuelers eingeben: 

dsquery user -name %DN% ou=schueler,ou=benutzer,dc=domain,dc=lokal | dsget user -display -desc -L

set /p frage=Ist dies der richtige Schueler? Bitte 'ja' oder 'nein' eingeben: 
if /I "%frage%"=="nein" goto start
if /I "%frage%"=="ja" goto aendern

echo Fehlerhafte Eingabe: [%frage%]
goto start

:aendern
dsquery user -name %DN% ou=schueler,ou=benutzer,dc=domain,dc=lokal | dsmod user  -canchpwd yes -pwdneverexpires no > nul
dsquery user -name %DN% ou=schueler,ou=benutzer,dc=domain,dc=lokal | dsmod user  -pwd 1234567 -mustchpwd yes > nul



echo.Das Passwort fuer %DN% wurde auf 1234567 zurueckgesetzt. 
pause

[nobex 10]

Ich suche aber eine Möglichkeit wie die Lehrer so etwas von ihrem Rechner tun können (Verknüpfung der .bat Datei funktioniert ja leider nicht ;) ).

Wichtig: Es muss kein Script sein. Für andere Vorschläge bin ich auch dankbar. Es muss nur für die Benutzer so einfach wie möglich sein.

Ich würde den Lehrern die Admintools (adminpak.msi vom Server) auf die Rechner installieren iun dvon dort aus die Kennwörten manuell über 'AD Benutzer- und Computer' rücksetzen lassen.

[Black_Eagle 10]

Vielen Dank für deine Antwort.

Ich kenne die Admintools so jetzt nicht, aber ich würde ungern diese Lösung benutzen. Da es auch mal sein kann das Schüler aus Platzmangel am Lehrerrechner arbeiten.

 

Besser wäre es da z.b. ein kleines Script (darum habe ich auch da was geschrieben gehabt ;) ), welches nur der Benutzergruppe "Lehrer" zugänglich gemacht wird (z.B. auf dem Transferlaufwerk welches nur für Lehrer zugänglich ist). Damit es halt nicht zwingend Rechnerabhängig ist von wo man so etwas machen kann.

Und wie gesagt sollte es so simpel sein wie es sich hier wohl kaum einer Vorstellen kann. Viele der Lehrer haben sogut wie nichts mit PCs zu tun. Da ist denk ich mal eine Lösung wo man nur den Namen eintragen muss und der rest automatisch geschieht schon ganz gut.

 

 

Wenn es allerdings garnicht anders gehen sollte, dann werde ich mir diese Admintools wohl mal genauer anschauen. Vielen Dank auf jedenfall für den Tip!

[nobex 10]

Vielen Dank für deine Antwort.

Ich kenne die Admintools so jetzt nicht, aber ich würde ungern diese Lösung benutzen. Da es auch mal sein kann das Schüler aus Platzmangel am Lehrerrechner arbeiten.

Btw, solange die Schüler nicht auch den Lehreraccount benutzen können die Tools nichts schaden. Sollten sie doch mit Lehreraccount unterwegs sein wären auch die Scripts ausführbar

... nur meine 2 Pfennige :cool:

[Black_Eagle 10]

Achso, also ist das auch accountabhängig?

 

Hmm ..

Naja, ich werd das Teil mal Testen.

Aber ich beführchte wenns mehr als einen klick hat um ein Passwort zurückzusetzen sind 98,71% der Lehrer hier überfordert (und nein, ich übertreibe nicht ...)

 

Bin weiterhin für neue Ideen/Vorschläge offen :)

Ich melde mich wenn ich die Tools getestet hab ...

 

 

//edit:

 

Ich habs gerade mal Testweise installiert. Und das ist viel zu Komplex. Damit kann man ja alles verwalten. Und birgt auch scheinbar n großes Risiko (wenn die irgendwas rumfummeln da.) Ich bin mir zwar sicher das man das irgendwie beschränken kann. Aber es ist einfach viel zu viel Aufwand für die Lehrer, die ja auch nichts neues lernen wollen.

 

Gibt es irgendwie eine andere Möglichkeit?

 

Ich persönlich schätze die meisten Lehrkräfte hier schon so ein das es für sie fast zu kompliziert ist eine .bat Datei zu öffnen um den Namen des Schülers einzugeben. Weil ja son ein DOS fenster total ungewohnt ist und tja..Panik ;)

 

 

 

//edit 2:

 

Ich hab noch eine Idee. Aber keine Ahnung wie und ob das zu realisieren ist.

Und zwar gibt es quasi ein kleines Intranet. Halt nur sone kleine Website die auf dem Server liegt (IIS), auf welcher man z.B. die Anwesenheit der Admins sehen kann.

 

Ist es möglich auch über so ein Webinterface (was nur Lehrern zugägnlich wäre) ein Eingabefeld zu machen, wo der Lehrer dann den Schülernamen eingibt, und dann das Passwort zurückgesetzt wird?

Also das die Eingabe quasi an das Script übergeben wird und dieses dann auf dem Server gestartet/ausgeführt wird.

Genauso wie jetzt, das auch übers Webinterface dann die Rückmeldung/Frage kommt in welcher Klasse der Schüler ist, und ob das korrekt ist.

 

Das hat nu denk ich mal mehr mit Scripting zu tun, aber ich würd da gerade ungern noch ein Topic öffnen.

[ducke 11]

http://www.mcseboard.de/windows-forum-ms-backoffice-31/passwort-per-command-line-aendern-123714.html

[Black_Eagle 10]

Ehrm tut mir sehr leid, aber was soll mir dieser Link sagen?

Entweder verstehe ich da garnichts, oder das trifft wirklich nichtmal im Entferntesten mein Problem.

Alle Rechner in der Schule sind in der Domäne. Nur wenn man sein Passwort vergessen hat um sich anzumelden, dann kann man sich auch nicht anmelden um das Passwort zu ändern. Macht Sinn, oder? Als suche ich eine Lösung damit Lehrer die Passwörter zurücksetzen können, ohne sich auf dem Server per Remote einzuloggen (denn die Lehrer kennen das alte Passwort der Schüler ja auch nicht, also kann mans auch so nicht ändern)

Das zurücksetzen soll quasi die Arbeit der Administratoren verringern, die dauernd den user im AD suchen müssen, rechtsklick -> kennwort zurücksetzen -> neues kennwort eingeben

[lefg 276]

Kennst Du psexec? Damit kann man ein Skript auf fernen Rechnern ausführen.

[Black_Eagle 10]

Hmmm .. Das hört sich schonmal ganz gut an. Muss ich mir mal anschauen.

 

Danke!!

[lefg 276]

Gern geschehen, viel Erfolg.

[zuschauer 10]

Hi !

@Black_Eagle: Wenn Du mit psexec arbeiten möchtest, musst Du aber alle interaktiven Elemente Deines Scriptes entfernen, da diese dann auf dem Server angezeigt werden würden

 

Man muss in der sich öffnenden Konsole nur den Loginnamen des Schülers eingeben. Dann bekommt man noch einmal eine Anzeige wie der Schüler heißt und in welcher Klasse er ist um irrtümer auszuschliessen. Bestätigt man diese Abfrage ...

 

... und eine Antwort ist nicht möglich ! ;)

[Black_Eagle 10]

Ach mist. Das ist dann ja wieder quasi Nutzlos.

Das Script an sich weiß ja vorher nicht welcher Benutzer gemeint ist...

 

Wär dann aber wohl zu einfach gewesen wenn diese Lösung funktioniert hätte ;)

[zuschauer 10]

Hi !

Schau Dir mal AdMod (Freeware) an. Es erledigt die gleichen Aufgaben wie DSQuery, allerdings auch von einer Workstation aus. ;)

AdMod

[Black_Eagle 10]

Hui, Danke zuschauer!

 

Nu muss ich nur noch verstehen wie das funktioniert... Hätte man nicht die gleichen befehle wie dsmod nehmen können? *g*