hkrischeu
Goto Top

Powershell - Abfrage PasswordNeverExpire

Hi,
ich wollte bei einem AzureAD User das Passwort auf never expire setzen. Standard ist 365 Tage.

Folgendes habe ich gemacht.
set-AzureADUser -ObjectId ac41c87e-asdf-asdf -PasswordPolicies DisablePasswordExpiration

Dann geschaut ob es ging ...
get-azureADUser -ObjectID aasdfe-49ad-4e15-8e4b-9fe7asdf7cd2 | select-object Userprincipalname,@{ N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiation"}}  
Es kam raus:
UserPrincipalName PasswordNeverExpires

asdfe@asdfde.onmicrosoft.com False


Anderen Weg getestet mit:

PS C:\WINDOWS\system32> Update-MgUser -UserId asdfg7e-49ad-4e15-8esdfgd2 -PasswordPolicies DisablePasswordExpiration

Hier geht es:
PS C:\WINDOWS\system32> Get-MGuser -UserId ab4sdfge-49ad-4e15-8e4b-9fesdfg7cd2 -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName,@{
    N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}  

UserPrincipalName PasswordNeverExpires
--------------------
asdf_asdf@rasdfasdfe.onmicrosoft.com True

Content-Key: 72691457872

Url: https://administrator.de/contentid/72691457872

Printed on: May 18, 2024 at 04:05 o'clock

Member: hkrischeu
hkrischeu Dec 15, 2023 at 10:40:51 (UTC)
Goto Top
Warum bekommt man da für das Gleiche zwei unterschiedliche Ergebnisse mit True und False?
Hat da mal jemand ein Tip?
Member: colinardo
Solution colinardo Dec 15, 2023 updated at 10:58:16 (UTC)
Goto Top
Servus @hkrischeu
Vielleicht wird es mit einem Kaffee zum Freitag oder mit dem Ausziehen der Handschuhe besser 🙂.
DisablePasswordExpiation
Und die UserIDs sind übrigens auch nicht die gleichen, aber hier vermutlich Opfer der Anonymisierung.

Gruß @colinardo

p.s. das AzureAD-Module ist veraltet, man sollte hier vorausschauend nur noch die Microsoft Graph CMDLets benutzen.
Member: hkrischeu
hkrischeu Dec 15, 2023 at 11:14:51 (UTC)
Goto Top
Wahrscheinlich funktioniert dann das AD-Modul zeitverzögert. Ich schau mal Montag danach.
Schönes WE
Member: ITOverlord
ITOverlord Dec 15, 2023 updated at 11:29:08 (UTC)
Goto Top
Hey,

manchmal kann es eine gewisse Verzögerung geben, bis Änderungen in Azure AD wirksam werden. Es ist möglich, dass die Passwortverfallsrichtlinie zwar deaktiviert wurde, aber die Änderung noch nicht in deiner Abfrage reflektiert wurde.

Wenn Update-MgUser verwendet wird, wird die Änderung an der Passwortrichtlinie schneller erkannt und es könnte daher sein, dass das Ergebnis "True" ergibt.

(Wird aber trotzdem empfohlen Azure AD zu verwenden, da du etwas am Azure AD Benutzer veränderst und es speziell für diese Aufgabe entwickelt wurde)

LG
Member: DerMaddin
DerMaddin Dec 15, 2023 at 11:34:05 (UTC)
Goto Top
Im AzureAD laufen die Kennwörter nicht ab, anders als im lokalen AD wo eine Policy das steuert. Siehe hier:

https://lazyadmin.nl/office-365/azure-ad-password-policy/
Member: colinardo
colinardo Dec 15, 2023 updated at 12:50:32 (UTC)
Goto Top
Zitat von @ITOverlord:
(Wird aber trotzdem empfohlen Azure AD zu verwenden, da du etwas am Azure AD Benutzer veränderst und es speziell für diese Aufgabe entwickelt wurde)

Das AzureAD Powershell-Modul ist veraltet, die Microsoft Graph API / Microsoft Graph Powershell ist dessen Nachfolger. Für neue Skripte würde ich deswegen gleich zur Graph-API raten.

https://techcommunity.microsoft.com/t5/microsoft-entra-blog/important-az ...
Member: hkrischeu
hkrischeu Dec 18, 2023 at 07:05:36 (UTC)
Goto Top
Hi und vielen Dank für die vielen Kommentare,

nur so zur Info. Es hat sich nix getan. Das Ergebnis, daß der Aufruf 2 verschiedene zustände Anzeigt, ist immer noch da.

Grüße
Heinz
Member: DerMaddin
DerMaddin Dec 18, 2023 at 07:21:01 (UTC)
Goto Top
Das bleibt auch so, denn wie bereits erwähnt, im Azure AD laufen die Passwörter nicht ab im Gegensatz zur lokalen AD. Es sei denn du hast eine angepasste Azure AD Password Policy
Member: colinardo
colinardo Dec 18, 2023 updated at 07:27:29 (UTC)
Goto Top
Und wie schon gesagt enthält der erste Schnipsel auch einen Tippfehler (es fehlt das "r")
DisablePasswordExpiation
Member: hkrischeu
hkrischeu Dec 18, 2023 at 07:42:49 (UTC)
Goto Top
Zitat von @colinardo:

Und wie schon gesagt enthält der erste Schnipsel auch einen Tippfehler (es fehlt das "r")
DisablePasswordExpiation

get-azureADUser -ObjectID asdf@asdf.onmicrosoft.com | select-object Userprincipalname,@{ N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Es ist wie immer - Das Problem sitzt vor der Tastatur.
Der Tippfehler war das Problem.

Vielen Dank für die Hilfe