Ciao a tutti.
Ho creato uno script molto semplice per resettare la password di tutti gli utenti AD di una certa OU.
I client sono tutti Windows 7 64Bit Professional mentre il DC è Windows Server 2008 R2

Lo script è il seguente

#Parametri da passare da linea di comando allo script
param($ou="",$password="")

#Controllo se i 2 parametri sono stati impostati
if($ou -eq "" -or $password -eq "")
{
	
	Write-Output "ATTENZIONE"
	Write-Output "Deve essere indicata l'Organization Unit e la nuova password"
	exit
}

Import-Module ActiveDirectory


#Percorso in AD dove lo script lavorerà
$searchBase="OU=$ou,OU=Utenti,DC=domain,DC=local"

$pwd = ConvertTo-SecureString -AsPlainText $password -Force

#Recupero tutti gli utenti della OU indicata
$utenti = Get-ADUser -Filter 'SamAccountName -like "*"' -SearchBase $searchBase 

foreach ($i in $utenti)
{
	Set-ADAccountPassword -Identity $i.SamAccountName -Reset -NewPassword $pwd 
	
}

Lo script funziona correttamente e modifica la password ma quello che succede è questo.

Se l'utente a cui voglio resettare la password è già loggato nel dominio attraverso il suo client, effettuando il logoff dal client, la nuova password non viene accettata.
Occorre reinserire la vecchia per loggarsi al client ed effettuare di nuovo un logoff per poter utilizzare la nuova password.

Se invece resetto la password direttamente dalla console di Active Directory sul DC, anche se l'utente è loggato nel client ed effettua un logoff, viene chiesta la nuova password.
Da cosa potrebbe dipendere?
Spero di non essere fuori tema con il forum e di essermi spiegato decentemente :D
Grazie a tutti in anticipo.

Daniele.

Ciao Daniele,

sinceramente pensavo che Set-ADAccountPassword producesse risultati immediati, come la console di AD.

Mi sentirei di consigliarti di dare un'occhiata ai cmdlet di Quest dedicati ad Active Directory. In generale sono più maturi di quelli di Microsoft e credo, per questo, anche più utilizzati (non per questo sono certo che risolveranno il tuo problema, comunque). Li puoi scaricare gratuitamente qui.

Il tuo script si trasformerebbe così (più o meno, non ho un AD sotto mano per provare):

# ...

Get-QADUser $searchBase |
	Set-QADUser –UserPassword $pwd

Ci faresti sapere se con i cmdlet di Quest il problema si risolve?

Ciao e grazie.

Ciao.
Niente, anche con i cmdlet di Quest si verifica l'inconveniente.
Addirittura eseguendo questi comandi (per utente non loggato)

$pwd = Read-Host -AsSecureString "Password"
e successivamente
Get-QADUser nome.cognome | Set-QADUser -UserPassword $pwd

Non mi fa entrare con nessuna delle password impostate..ne la vecchia ne la nuova :D
O sono io che sbaglio procedimento o c'è qualche problema tra il client e il DC oppure sono misteri a cui non possiamo avere risposta :D

Resettando la pwd da console di Active, il risultato è immediato (mi loggo tranquillamente al client).

Daniele

Ciao Daniele,

il tuo problema va al di là della mie competenze, puramente legate a PowerShell come linguaggio e ambiente di scripting.

Provo a chiedere una mano a qualche amico e appena riceverò risposta la condividerò qui.

A presto!

Ti ringrazio davvero per l'aiuto.
Probabilmente ora siamo un po' off topic e mi scuso :D
Diciamo che lo script che ho postato è funzionante e corretto ma che ho notato questo comportamento strano.
Provate in qualche ambiente di test per vedere se si presenta anceh a voi questa situazione usando il cmdlet in oggetto.

Buona giornata.

Daniele.