Active Directory Passwort zurücksetzen – alle Methoden
Das Zurücksetzen von Active Directory Passwörtern gehört zu den häufigsten Aufgaben im IT-Helpdesk. Ob gesperrtes Konto, vergessenes Passwort oder Sicherheitsreset nach Sicherheitsvorfall – hier sind alle Methoden erklärt.
Methode 1: Active Directory Benutzer und Computer (ADUC)
Die klassische grafische Methode:
- Server-Manager → Tools → Active Directory-Benutzer und -Computer öffnen
- Benutzer suchen: Strg+F oder in der OU navigieren
- Rechtsklick auf Benutzer → Kennwort zurücksetzen
- Neues Kennwort und Bestätigung eingeben
- Optional aktivieren:
- "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" ✅ (empfohlen)
- "Konto entsperren" ✅ (wenn das Konto gesperrt war)
- OK klicken
Methode 2: PowerShell (empfohlen für IT-Admins)
# Einmaliges Passwort-Reset
$SecurePassword = ConvertTo-SecureString "NeuesPasswort#2025" -AsPlainText -Force
Set-ADAccountPassword -Identity "max.mustermann" -NewPassword $SecurePassword -Reset
# Gleichzeitig entsperren und Passwort-Änderung erzwingen
Set-ADAccountPassword -Identity "max.mustermann" -NewPassword $SecurePassword -Reset
Unlock-ADAccount -Identity "max.mustermann"
Set-ADUser -Identity "max.mustermann" -ChangePasswordAtLogon $true
Passwort per E-Mail senden (mit Zufallspasswort):
function Reset-ADPasswordRandom {
param([string]$Username)
# Zufälliges sicheres Passwort generieren
$chars = "ABCDEFGHJKLMNPQRSTUVWXYZabcdefghijkmnpqrstuvwxyz23456789!@#"
$password = -join ((1..12) | ForEach { $chars[(Get-Random -Max $chars.Length)] })
$SecurePass = ConvertTo-SecureString $password -AsPlainText -Force
Set-ADAccountPassword -Identity $Username -NewPassword $SecurePass -Reset
Unlock-ADAccount -Identity $Username
Set-ADUser -Identity $Username -ChangePasswordAtLogon $true
$user = Get-ADUser $Username -Properties EmailAddress, DisplayName
Write-Host "Passwort für $($user.DisplayName): $password"
# Hier E-Mail-Versand ergänzen
}
Reset-ADPasswordRandom -Username "max.mustermann"
Methode 3: Konto entsperren (ohne Passwort-Reset)
Wenn das Konto nur gesperrt ist (zu viele Fehlversuche):
# Konto entsperren
Unlock-ADAccount -Identity "max.mustermann"
# Sperrstatus prüfen
Get-ADUser -Identity "max.mustermann" -Properties LockedOut | Select Name, LockedOut
Methode 4: Massenreset via PowerShell
# Alle gesperrten Konten finden und entsperren
Search-ADAccount -LockedOut | ForEach {
Unlock-ADAccount -Identity $_.DistinguishedName
Write-Host "Entsperrt: $($_.SamAccountName)"
}
Sicherheitshinweise
Best Practices für Passwort-Resets:
- Identität des Benutzers verifizieren bevor das Passwort zurückgesetzt wird (Telefonanruf, persönlich, MFA)
- "Änderung bei nächster Anmeldung" immer aktivieren
- Temporäres Passwort sicher übermitteln (nicht per unverschlüsselter E-Mail)
- Reset-Vorgang im Ticketsystem dokumentieren
- Bei verdächtigen Resets: Sicherheitsvorfall prüfen
FAQ
Wie prüfe ich, wann das Passwort eines Benutzers abläuft?
Get-ADUser -Identity "max.mustermann" -Properties PasswordLastSet, PasswordExpired, PasswordNeverExpires |
Select Name, PasswordLastSet, PasswordExpired, PasswordNeverExpires
Kann ein Benutzer sein eigenes AD-Passwort selbst zurücksetzen?
Mit dem Microsoft Entra Self-Service Password Reset (SSPR) oder einer internen Self-Service-Lösung ja. SSPR ist in Microsoft 365 Business Premium und E-Plänen enthalten.
Wir haben viele Passwort-Resets täglich – was tun?
Self-Service Password Reset einrichten oder Passwort-Richtlinie überprüfen (zu kurze Mindestlänge oder zu kurze Ablaufzeit erhöhen Resets stark).
Active Directory Management in Heidelberg
Sie benötigen Unterstützung bei Ihrem Active Directory? SeeColors IT administriert Windows Server und Active Directory für Unternehmen in Heidelberg, Mannheim, Ludwigshafen und dem Rhein-Neckar-Kreis.
➡️ AD-Support anfragen | ☎ +49 170 403 9558