hkrischeu
15.12.2023, aktualisiert um 11:39:57 Uhr
view2054
view10
0
Goto Top

Powershell - Abfrage PasswordNeverExpire

gelöstFrageCloud
Hi,
ich wollte bei einem AzureAD User das Passwort auf never expire setzen. Standard ist 365 Tage.

Folgendes habe ich gemacht.
set-AzureADUser -ObjectId ac41c87e-asdf-asdf -PasswordPolicies DisablePasswordExpiration

Dann geschaut ob es ging ...
get-azureADUser -ObjectID aasdfe-49ad-4e15-8e4b-9fe7asdf7cd2 | select-object Userprincipalname,@{ N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiation"}}
Es kam raus:
UserPrincipalName PasswordNeverExpires

asdfe@asdfde.onmicrosoft.com False


Anderen Weg getestet mit:

PS C:\WINDOWS\system32> Update-MgUser -UserId asdfg7e-49ad-4e15-8esdfgd2 -PasswordPolicies DisablePasswordExpiration

Hier geht es:
PS C:\WINDOWS\system32> Get-MGuser -UserId ab4sdfge-49ad-4e15-8e4b-9fesdfg7cd2 -Property UserPrincipalName, PasswordPolicies | Select-Object UserPrincipalName,@{
    N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

UserPrincipalName PasswordNeverExpires
--------------------
asdf_asdf@rasdfasdfe.onmicrosoft.com True
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 72691457872

Url: https://administrator.de/contentid/72691457872

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

10 Kommentare
Neuester Kommentar
Goto Top
hkrischeu
hkrischeu 15.12.2023 um 11:40:51 Uhr
Goto Top
Warum bekommt man da für das Gleiche zwei unterschiedliche Ergebnisse mit True und False?
Hat da mal jemand ein Tip?
colinardo
Lösung colinardo 15.12.2023 aktualisiert um 11:58:16 Uhr
Goto Top
Servus @hkrischeu
Vielleicht wird es mit einem Kaffee zum Freitag oder mit dem Ausziehen der Handschuhe besser 🙂.
DisablePasswordExpiation
Und die UserIDs sind übrigens auch nicht die gleichen, aber hier vermutlich Opfer der Anonymisierung.

Gruß @colinardo

p.s. das AzureAD-Module ist veraltet, man sollte hier vorausschauend nur noch die Microsoft Graph CMDLets benutzen.
heart2
hkrischeu
hkrischeu 15.12.2023 um 12:14:51 Uhr
Goto Top
Wahrscheinlich funktioniert dann das AD-Modul zeitverzögert. Ich schau mal Montag danach.
Schönes WE
Rotkaeppchen
Rotkaeppchen 15.12.2023 aktualisiert um 12:29:08 Uhr
Goto Top
Hey,

manchmal kann es eine gewisse Verzögerung geben, bis Änderungen in Azure AD wirksam werden. Es ist möglich, dass die Passwortverfallsrichtlinie zwar deaktiviert wurde, aber die Änderung noch nicht in deiner Abfrage reflektiert wurde.

Wenn Update-MgUser verwendet wird, wird die Änderung an der Passwortrichtlinie schneller erkannt und es könnte daher sein, dass das Ergebnis "True" ergibt.

(Wird aber trotzdem empfohlen Azure AD zu verwenden, da du etwas am Azure AD Benutzer veränderst und es speziell für diese Aufgabe entwickelt wurde)

LG
DerMaddin
DerMaddin 15.12.2023 um 12:34:05 Uhr
Goto Top
Im AzureAD laufen die Kennwörter nicht ab, anders als im lokalen AD wo eine Policy das steuert. Siehe hier:

https://lazyadmin.nl/office-365/azure-ad-password-policy/
colinardo
colinardo 15.12.2023 aktualisiert um 13:50:32 Uhr
Goto Top
Zitat von @itoverlord:
(Wird aber trotzdem empfohlen Azure AD zu verwenden, da du etwas am Azure AD Benutzer veränderst und es speziell für diese Aufgabe entwickelt wurde)

Das AzureAD Powershell-Modul ist veraltet, die Microsoft Graph API / Microsoft Graph Powershell ist dessen Nachfolger. Für neue Skripte würde ich deswegen gleich zur Graph-API raten.

https://techcommunity.microsoft.com/t5/microsoft-entra-blog/important-az ...
heart1
hkrischeu
hkrischeu 18.12.2023 um 08:05:36 Uhr
Goto Top
Hi und vielen Dank für die vielen Kommentare,

nur so zur Info. Es hat sich nix getan. Das Ergebnis, daß der Aufruf 2 verschiedene zustände Anzeigt, ist immer noch da.

Grüße
Heinz
DerMaddin
DerMaddin 18.12.2023 um 08:21:01 Uhr
Goto Top
Das bleibt auch so, denn wie bereits erwähnt, im Azure AD laufen die Passwörter nicht ab im Gegensatz zur lokalen AD. Es sei denn du hast eine angepasste Azure AD Password Policy
colinardo
colinardo 18.12.2023 aktualisiert um 08:27:29 Uhr
Goto Top
Und wie schon gesagt enthält der erste Schnipsel auch einen Tippfehler (es fehlt das "r")
DisablePasswordExpiation
heart1
hkrischeu
hkrischeu 18.12.2023 um 08:42:49 Uhr
Goto Top
Zitat von @colinardo:

Und wie schon gesagt enthält der erste Schnipsel auch einen Tippfehler (es fehlt das "r")
DisablePasswordExpiation

get-azureADUser -ObjectID asdf@asdf.onmicrosoft.com | select-object Userprincipalname,@{ N="PasswordNeverExpires";E={$_.PasswordPolicies -contains "DisablePasswordExpiration"}}

Es ist wie immer - Das Problem sitzt vor der Tastatur.
Der Tippfehler war das Problem.

Vielen Dank für die Hilfe
gelöstFrageCloud
Mehr von hkrischeuhkrischeuHyper-V Server2019 - max. Volume 1.99 TBhkrischeu - 25 KommentarehkrischeuWin10, rechte Maustaste,tothkrischeu - 16 KommentarehkrischeuZertifikatsanforderung aus Debian in Windows AD CA signieren und als pfx zusammenfügenhkrischeu - 19 KommentarehkrischeuSelfsigned Zertifikatsanforderung bringt Fehlerhkrischeu - 4 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare