Active Directory Powershell

Active Directory Powershell

組策略 分享

Default Domain Controller Policy 對應 Windows Server
——(Windows Server 2008、2012、2016、2019、2022
Default Domain Policy 對應 Windows Client
——(Window7、8、10、11

以管理员身份运行 PowerShell

PS C:\Users\ian> start powershell -Verb runas

官方
Start-Process -FilePath "powershell" -Verb RunAs

获取当前域密码策略:Get-ADDefaultDomainPasswordPolicy

PS C:\Users\ian> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=ianext,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : de48adf8-9f2f-44ec-8b38-3850487b8505
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

ComplexityEnabled:密码必须符合复杂性要求
MaxPasswordAge:密码最长使用期限
MinPasswordAge:密码最短使用期限
MinPasswordLength:最小密码长度
PasswordHistoryCount:强制密码历史 

设置前查看当前域密码策略

PS C:\Users\ian> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=ianext,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : de48adf8-9f2f-44ec-8b38-3850487b8505
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False
当前(也是默认)的密码最长使用期限是 24 天;

设置新的密码策略 需要在域控制器服务器设置

PS C:\Users\ian> Set-ADDefaultDomainPasswordPolicy -Identity ianext.com -ComplexityEnabled $True -MaxPasswordAge 180.00:00:00

设置成功,设置成功后密码最长使用期限是 180 天

PS C:\Users\ian> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=ianext,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 180.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : de48adf8-9f2f-44ec-8b38-3850487b8505
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

ComplexityEnabled:密码符合复杂程序 *;MaxPasswordAge:密码可使用最长时间 180 天,过期需要更改密码;MinPasswordAge:密码最短使用 1 天,1 天之内不能再次修改密码;MinPasswordLength:密码长度最少 7 位;PasswordHistoryCount:强制密码历史 24 个,不可使用最近设置过的 24 个密码;密码符合复杂程序 *:大写字母、小写字母、数字和符号四种中必须有三种、且密码口令中不得包括全部或部分用户名;

获取所有密码已过期的用户

PS C:\Users\ian> Get-Aduser -Filter *  -Properties * | where {$_.PasswordExpired -eq $true} | FT Name

获取所有标识密码过期时间的用户 / 密码永不过期除外 / 按最先过期排序

PS C:\Users\ian> Get-ADUser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties * | Select-Object -Property "Name", @{n="ExpiryDate";e={$_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days)}} | Sort-Object ExpiryDate

获取指定标识密码过期时间的用户

PS C:\Users\ian> Get-ADUser -Filter {name -like "ian"} -Properties * | Select-Object -Property "Name", @{n="ExpiryDate";e={$_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days)}} | Sort-Object ExpiryDate

获取所有用户密码属性信息

Get-ADUser -Filter * -Properties * | Sort-Object Name | ft Name,PasswordLastSet,PasswordExpired,PasswordNeverExpires

AD 域用户上次设置密码时间:PasswordLastSet

PS C:\Users\ian> Get-ADUser ian -Properties * | ft PasswordLastSet

AD 域设置账户密码必须条件:-PasswordNotRequired

 设置账户 ian 可以不使用密码登录
PS C:\Users\ian> Set-ADAccountControl ian -PasswordNotRequired:$true

设置账户 ian 必须使用密码登录
PS C:\Users\ian> Set-ADAccountControl ian -PasswordNotRequired:$false

AD 域设置账户密码永不过期:-PasswordNeverExpires

 设置账户 ian 密码永不过期
PS C:\Users\ian> Set-ADAccountControl -Identity ian -PasswordNeverExpires:$true
PS C:\Users\ian> Set-ADUser -Identity ian -PasswordNeverExpires $false

取消账户 ian 密码永不过期
PS C:\Users\ian> Set-ADAccountControl -Identity ian -PasswordNeverExpires:$false
PS C:\Users\ian> Set-ADUser -Identity ian -PasswordNeverExpires $true

AD 域更改账户密码:Set-ADAccountPassword

 提示指定用户更改密码,根据提示信息输入旧密码并更新用户密码
PS C:\Users\ian> Set-ADAccountPassword -Identity ian
请为“CN= 天生快活人,OU= 開心樂逍遙,OU= 用户组,OU= 集团,DC=hxx,DC=tt”输入当前密码
密码: ********
请为“CN= 天生快活人,OU= 開心樂逍遙,OU= 用户组,OU= 集团,DC=hxx,DC=tt”输入所需密码
密码: ********
重复密码: ********

如提示:“密碼強度、複雜性、歷史要求不符合要求”可用以下語句,進行強制性修改用戶密碼
PS C:\Users\ian> set-adaccountpassword -identity ian -newpassword (convertto-securestring -asplaintext 1Qaz@43210 -force)

AD 域设置账户指定时间过期:Set-ADAccountExpiration

 设置 ian 的账户过期时间为 2022/10/18 0:00:00,即最后可用使用时间为 2022/10/17 23:59:59。PS C:\Users\ian> Set-ADAccountExpiration -Identity ian -DateTime "10/18/2022"

正文完
文章赞赏 謝謝支持
post-qrcode
 0
ianext
版权声明:本站原创文章,由 ianext 于2022-03-12发表,共计3886字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
评论(尚無留言)
验证码