Passwortwechsel in der Domain bei Anmeldung erzwingen
Nachdem es immer wieder User geschafft haben, sich während des laufenden Betriebes auszusperren, habe ich nach einer Möglichkeit gesucht, die User bereits bei der Anmeldung zum Passwortwechsel zu zwingen, sollte die Passwortlaufzeit 1 Tag unterschreiten.
Das PowerShell-Skript hierzu sieht so aus:
Das Skript ist aus vielen Fragmenten einzelner entstanden, welche aber alleine genommen nie das gewünschte Ergebnis gebracht haben.
Individuell angepasst werden müssen die Parameter "DC=mydomain,DC=intern” und "$diff -lt 1".
Durch ändern der Zeile
kann das Skript gefahrlos getestet werden, denn es werden nur die zu ändernden AD-User angezeigt.
Das Skript läßt man nun täglich über die Aufgabenplanung auf einem Domain-Controller laufen.
Quellen (ohne Anspruch auf Vollständigkeit):
User per Email über den baldigen Passwortablauf erinnern
https://www.fachinformatiker.de/topic/154951-problem-powershell-benutzer ...
https://www.windowspro.de/script/vergleichsoperatoren-powershell-eq-lt-g ...
https://www.it-visions.de/scripting/PowerShell/Commandlets.aspx?Set-ADUs ...
Edit:
Abfrage "Surname" auf "SAMAccountname geändert, um Probleme bei gleichen Nachnamen im selben Abfagezeitraum zu umgehen.
Das PowerShell-Skript hierzu sieht so aus:
Import-Module ActiveDirectory
$maxSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
$today = get-date
get-aduser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties PasswordLastSet,GivenName,Surname,samaccountname -SearchBase “DC=mydomain,DC=intern” -SearchScope Subtree | ?{$_.PasswordLastset -is [datetime]} | %{$diff = (($_.PasswordLastSet + $maxSpan)-$today).Days
if($diff -lt 1)
{
Set-ADUser -identity:($_.samaccountname) -ChangePasswordAtLogon:$True
}
}
Das Skript ist aus vielen Fragmenten einzelner entstanden, welche aber alleine genommen nie das gewünschte Ergebnis gebracht haben.
Individuell angepasst werden müssen die Parameter "DC=mydomain,DC=intern” und "$diff -lt 1".
Durch ändern der Zeile
Set-ADUser -identity:($_.Surname) -whatif -ChangePasswordAtLogon:$True
kann das Skript gefahrlos getestet werden, denn es werden nur die zu ändernden AD-User angezeigt.
Das Skript läßt man nun täglich über die Aufgabenplanung auf einem Domain-Controller laufen.
Quellen (ohne Anspruch auf Vollständigkeit):
User per Email über den baldigen Passwortablauf erinnern
https://www.fachinformatiker.de/topic/154951-problem-powershell-benutzer ...
https://www.windowspro.de/script/vergleichsoperatoren-powershell-eq-lt-g ...
https://www.it-visions.de/scripting/PowerShell/Commandlets.aspx?Set-ADUs ...
Edit:
Abfrage "Surname" auf "SAMAccountname geändert, um Probleme bei gleichen Nachnamen im selben Abfagezeitraum zu umgehen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 390359
Url: https://administrator.de/contentid/390359
Ausgedruckt am: 19.12.2024 um 02:12 Uhr
6 Kommentare
Neuester Kommentar
ohne Anspruch auf Vollständigkeit
Richtig, da fehlt nämlich noch so einiges , unter anderem wie z.B. das Überprüfen auf User mit PSOs, die haben dann nämlich andere Ablaufpolicies.Für eine Anleitung also noch ziemlich dürftig.
Gruß L.
Hab isch scho, lang ist's schon her die einfachen Aufgaben , die Freude am Debuggen will ich dir ja nicht nehmen , davon lernst du schließlich.
Jaja.....dumm labern
Sprach der Jüngling und biss ins Gras.Kann ich dir gerne geben sobald ich aus dem Urlaub zurück bin.
Is schon Freitag?
Bei dir vielleicht. B-)
Jungs, entspannt Euch.
@Looser27 Das Forum hat leider keine Funktion um Anleitungen mit weniger als 5 Seiten automatisch in „Tipp“ zu verschieben. Dafür hat es eine Humanoide-Kritik-Funktion, die alle Anleitungen dieses Umfangs entsprechend kommentiert.
Ich wette, wenn Du das als Tipp gebracht hättest, würde der Kommentar anders ausgefallen sein.
Grüße, auch an den Kommentarbot,
lcer
@Looser27 Das Forum hat leider keine Funktion um Anleitungen mit weniger als 5 Seiten automatisch in „Tipp“ zu verschieben. Dafür hat es eine Humanoide-Kritik-Funktion, die alle Anleitungen dieses Umfangs entsprechend kommentiert.
Ich wette, wenn Du das als Tipp gebracht hättest, würde der Kommentar anders ausgefallen sein.
Grüße, auch an den Kommentarbot,
lcer