looser27
Goto Top

Passwortwechsel in der Domain bei Anmeldung erzwingen

Nachdem es immer wieder User geschafft haben, sich während des laufenden Betriebes auszusperren, habe ich nach einer Möglichkeit gesucht, die User bereits bei der Anmeldung zum Passwortwechsel zu zwingen, sollte die Passwortlaufzeit 1 Tag unterschreiten.

Das PowerShell-Skript hierzu sieht so aus:
Import-Module ActiveDirectory 
$maxSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge 
$today = get-date 
 
get-aduser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties PasswordLastSet,GivenName,Surname,samaccountname -SearchBase “DC=mydomain,DC=intern” -SearchScope Subtree | ?{$_.PasswordLastset -is [datetime]} | %{$diff = (($_.PasswordLastSet + $maxSpan)-$today).Days 
    if($diff -lt 1)
	{ 
    	Set-ADUser -identity:($_.samaccountname) -ChangePasswordAtLogon:$True
    	} 
}

Das Skript ist aus vielen Fragmenten einzelner entstanden, welche aber alleine genommen nie das gewünschte Ergebnis gebracht haben.

Individuell angepasst werden müssen die Parameter "DC=mydomain,DC=intern” und "$diff -lt 1".

Durch ändern der Zeile

Set-ADUser -identity:($_.Surname) -whatif -ChangePasswordAtLogon:$True

kann das Skript gefahrlos getestet werden, denn es werden nur die zu ändernden AD-User angezeigt.

Das Skript läßt man nun täglich über die Aufgabenplanung auf einem Domain-Controller laufen.

Quellen (ohne Anspruch auf Vollständigkeit):
User per Email über den baldigen Passwortablauf erinnern
https://www.fachinformatiker.de/topic/154951-problem-powershell-benutzer ...
https://www.windowspro.de/script/vergleichsoperatoren-powershell-eq-lt-g ...
https://www.it-visions.de/scripting/PowerShell/Commandlets.aspx?Set-ADUs ...

Edit:
Abfrage "Surname" auf "SAMAccountname geändert, um Probleme bei gleichen Nachnamen im selben Abfagezeitraum zu umgehen.

Content-ID: 390359

Url: https://administrator.de/contentid/390359

Ausgedruckt am: 19.12.2024 um 02:12 Uhr

137443
137443 23.10.2018 aktualisiert um 19:54:01 Uhr
Goto Top
ohne Anspruch auf Vollständigkeit
Richtig, da fehlt nämlich noch so einiges face-wink, unter anderem wie z.B. das Überprüfen auf User mit PSOs, die haben dann nämlich andere Ablaufpolicies.

Für eine Anleitung also noch ziemlich dürftig.
Gruß L.
Looser27
Looser27 23.10.2018 um 19:55:56 Uhr
Goto Top
Dann mach es besser.....
137443
137443 23.10.2018 aktualisiert um 20:01:29 Uhr
Goto Top
Hab isch scho, lang ist's schon her die einfachen Aufgaben face-wink, die Freude am Debuggen will ich dir ja nicht nehmen face-smile, davon lernst du schließlich.
Looser27
Looser27 23.10.2018 um 20:01:04 Uhr
Goto Top
Jaja.....dumm labern, aber den Beweis schuldig bleiben. Is schon Freitag?
137443
137443 23.10.2018 aktualisiert um 20:03:42 Uhr
Goto Top
Jaja.....dumm labern
Sprach der Jüngling und biss ins Gras.
Kann ich dir gerne geben sobald ich aus dem Urlaub zurück bin.
Is schon Freitag?
Bei dir vielleicht. B-)
lcer00
lcer00 23.10.2018 aktualisiert um 22:59:47 Uhr
Goto Top
Jungs, entspannt Euch.

@Looser27 Das Forum hat leider keine Funktion um Anleitungen mit weniger als 5 Seiten automatisch in „Tipp“ zu verschieben. Dafür hat es eine Humanoide-Kritik-Funktion, die alle Anleitungen dieses Umfangs entsprechend kommentiert.

Ich wette, wenn Du das als Tipp gebracht hättest, würde der Kommentar anders ausgefallen sein.

Grüße, auch an den Kommentarbot,

lcer