La opción "El usuario debe cambiar la contraseña en el próximo inicio de sesión" generalmente está habilitada cuando se crea un nuevo usuario de Active Directory, cuando el administrador restablece la contraseña del usuario (cuando el usuario olvidó su contraseña o la contraseña se vio comprometida).
Puede habilitar la opción "El usuario debe cambiar la contraseña en el próximo inicio de sesión" usando el ADUC consola (Usuarios y equipos de Active Directory)
- Lanzar el dsa.msc complemento;
- Encuentre el usuario del dominio y abra sus propiedades;
- Ve a la Cuenta pestaña y habilite la opción “El usuario debe cambiar la contraseña en el próximo inicio de sesión" en el opciones de cuenta sección;
- Guarde los cambios haciendo clic en Aceptar.
Esta opción también está habilitada de forma predeterminada cuando crea un nuevo usuario de AD mediante el asistente gráfico de ADUC (Nuevo > Usuario).
Al restablecer la contraseña del usuario, el operador de la cuenta del dominio también puede habilitar o deshabilitar la opción de restablecimiento de contraseña.
También puede habilitar la opción "El usuario debe cambiar la contraseña en el próximo inicio de sesión" usando PowerShell. Para hacer esto, use el Obtener ADUser y Establecer-ADUser cmdlets de la Módulo AD PowerShell. Para el nombre de usuario, especifique el valor de la atributo samAccountName:
Import-Module ActiveDirectory Get-ADUser –identity jsanti | Set-ADUser –ChangePasswordAtLogon $true
Puede habilitar el atributo ChangePasswordAtLogon para todos los usuarios en la unidad organizativa específica:
Get-ADUser -Filter * -SearchBase "OU=Users,OU=California.OU=USA,DC=theitbros,DC=com"| Set-ADUser -ChangePasswordAtLogon:$True
Al crear nuevos usuarios en AD mediante el cmdlet New-ADUser de PowerShell, también puede habilitar este atributo (consulte el ejemplo en el artículo https://theitbros.com/import-users-into-active-directory-from-csv/)
Si esta opción está habilitada para la cuenta de usuario, la próxima vez que el usuario inicie sesión en cualquier computadora o servidor de dominio después de ingresar la contraseña, aparecerá una notificación:
La contraseña del usuario debe cambiarse antes de iniciar sesión
El usuario debe hacer clic en Aceptar y, en el siguiente formulario, especificar una nueva contraseña y confirmación.
Si el usuario se niega a cambiar la contraseña, no podrá iniciar sesión en la computadora del dominio con la contraseña anterior hasta que la cambie.
Si desea restablecer la contraseña de usuario de AD, pero en la ventana Restablecer contraseña la opción "El usuario debe cambiar la contraseña en el próximo inicio de sesión" está atenuada, verifique lo siguiente:
- Asegúrese de que la opción “La contraseña nunca expira” no está habilitado en las propiedades del usuario en el Cuenta pestaña. Si está habilitado, desmarque la opción y haga clic en Aceptar;
- Asegúrese de que su cuenta tenga permisos suficientes para restablecer la contraseña de este usuario. Para ello, en las propiedades del usuario en la consola ADUC, vaya a la Seguridad > Avanzado > Acceso efectivo pestaña. Haga clic en el Seleccione un usuario y especifique el nombre de su cuenta (a la que se delegan los permisos de restablecimiento de contraseña) y haga clic en el botón Ver acceso efectivo botón.
- Asegúrate de tener Restablecer la contraseña y Escribir userAccountControl (o Escribir restricciones de cuenta) permisos.
Si su cuenta no tiene los permisos anteriores para restablecer la contraseña, debe delegar estos permisos en una cuenta con derechos de administrador de dominio. Haga clic derecho en la unidad organizativa donde se encuentra el usuario y seleccione Control delegado.
En el Asistente de delegación de controlespecifique el usuario o grupo al que desea delegar permisos y en el siguiente paso (Tareas a delegar) seleccione Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión. Haga clic en Siguiente > Finalizar.
Si los permisos no aparecieron aún después de eso, verifique que la herencia esté habilitada en las propiedades del usuario al que desea habilitar la opción de cambio de contraseña. Abra las propiedades de usuario > Seguridad > botón Avanzado > si el Habilitar herencia está disponible, haga clic en él y Aceptar.