Active Directory Powershell

1,048次阅读
尚無留言

共计 3886 个字符,预计需要花费 10 分钟才能阅读完成。

Active Directory Powershell

組策略 分享

Default Domain Controller Policy 對應 Windows Server
——(Windows Server 2008、2012、2016、2019、2022
Default Domain Policy 對應 Windows Client
——(Window7、8、10、11

以管理员身份运行 PowerShell

PS C:\Users\ian> start powershell -Verb runas

官方
Start-Process -FilePath "powershell" -Verb RunAs

获取当前域密码策略:Get-ADDefaultDomainPasswordPolicy

PS C:\Users\ian> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=ianext,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : de48adf8-9f2f-44ec-8b38-3850487b8505
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

ComplexityEnabled:密码必须符合复杂性要求
MaxPasswordAge:密码最长使用期限
MinPasswordAge:密码最短使用期限
MinPasswordLength:最小密码长度
PasswordHistoryCount:强制密码历史

设置前查看当前域密码策略 

PS C:\Users\ian> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=ianext,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 42.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : de48adf8-9f2f-44ec-8b38-3850487b8505
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False
当前(也是默认)的密码最长使用期限是 24 天;

设置新的密码策略 需要在域控制器服务器设置 

PS C:\Users\ian> Set-ADDefaultDomainPasswordPolicy -Identity ianext.com -ComplexityEnabled $True -MaxPasswordAge 180.00:00:00

设置成功,设置成功后密码最长使用期限是 180 天 

PS C:\Users\ian> Get-ADDefaultDomainPasswordPolicy

ComplexityEnabled           : True
DistinguishedName           : DC=ianext,DC=com
LockoutDuration             : 00:30:00
LockoutObservationWindow    : 00:30:00
LockoutThreshold            : 0
MaxPasswordAge              : 180.00:00:00
MinPasswordAge              : 1.00:00:00
MinPasswordLength           : 7
objectClass                 : {domainDNS}
objectGuid                  : de48adf8-9f2f-44ec-8b38-3850487b8505
PasswordHistoryCount        : 24
ReversibleEncryptionEnabled : False

ComplexityEnabled:密码符合复杂程序 *;MaxPasswordAge:密码可使用最长时间 180 天,过期需要更改密码;MinPasswordAge:密码最短使用 1 天,1 天之内不能再次修改密码;MinPasswordLength:密码长度最少 7 位;PasswordHistoryCount:强制密码历史 24 个,不可使用最近设置过的 24 个密码;密码符合复杂程序 *:大写字母、小写字母、数字和符号四种中必须有三种、且密码口令中不得包括全部或部分用户名;

获取所有密码已过期的用户 

PS C:\Users\ian> Get-Aduser -Filter *  -Properties * | where {$_.PasswordExpired -eq $true} | FT Name

获取所有标识密码过期时间的用户 / 密码永不过期除外 / 按最先过期排序 

PS C:\Users\ian> Get-ADUser -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties * | Select-Object -Property "Name", @{n="ExpiryDate";e={$_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days)}} | Sort-Object ExpiryDate

获取指定标识密码过期时间的用户 

PS C:\Users\ian> Get-ADUser -Filter {name -like "ian"} -Properties * | Select-Object -Property "Name", @{n="ExpiryDate";e={$_.PasswordLastSet.AddDays((Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days)}} | Sort-Object ExpiryDate

获取所有用户密码属性信息 

Get-ADUser -Filter * -Properties * | Sort-Object Name | ft Name,PasswordLastSet,PasswordExpired,PasswordNeverExpires

AD 域用户上次设置密码时间:PasswordLastSet

PS C:\Users\ian> Get-ADUser ian -Properties * | ft PasswordLastSet

AD 域设置账户密码必须条件:-PasswordNotRequired

 设置账户 ian 可以不使用密码登录
PS C:\Users\ian> Set-ADAccountControl ian -PasswordNotRequired:$true

设置账户 ian 必须使用密码登录
PS C:\Users\ian> Set-ADAccountControl ian -PasswordNotRequired:$false

AD 域设置账户密码永不过期:-PasswordNeverExpires

 设置账户 ian 密码永不过期
PS C:\Users\ian> Set-ADAccountControl -Identity ian -PasswordNeverExpires:$true
PS C:\Users\ian> Set-ADUser -Identity ian -PasswordNeverExpires $false

取消账户 ian 密码永不过期
PS C:\Users\ian> Set-ADAccountControl -Identity ian -PasswordNeverExpires:$false
PS C:\Users\ian> Set-ADUser -Identity ian -PasswordNeverExpires $true

AD 域更改账户密码:Set-ADAccountPassword

 提示指定用户更改密码,根据提示信息输入旧密码并更新用户密码
PS C:\Users\ian> Set-ADAccountPassword -Identity ian
请为“CN= 天生快活人,OU= 開心樂逍遙,OU= 用户组,OU= 集团,DC=hxx,DC=tt”输入当前密码
密码: ********
请为“CN= 天生快活人,OU= 開心樂逍遙,OU= 用户组,OU= 集团,DC=hxx,DC=tt”输入所需密码
密码: ********
重复密码: ********

如提示:“密碼強度、複雜性、歷史要求不符合要求”可用以下語句,進行強制性修改用戶密碼
PS C:\Users\ian> set-adaccountpassword -identity ian -newpassword (convertto-securestring -asplaintext 1Qaz@43210 -force)

AD 域设置账户指定时间过期:Set-ADAccountExpiration

 设置 ian 的账户过期时间为 2022/10/18 0:00:00,即最后可用使用时间为 2022/10/17 23:59:59。PS C:\Users\ian> Set-ADAccountExpiration -Identity ian -DateTime "10/18/2022"
正文完
发表至: Server 域控制器
2022-03-12
 0
ianext
版权声明:本站原创文章,由 ianext 于2022-03-12发表,共计3886字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。

選擇比努力更重要。

Centos 安裝 Zabbix 教學之 MYSQL ERROR 2002 (HY000)
Ubuntu2104 配置固定 IP
SCCM 1902-05-安装 SQL2019
部署 SCCM for 2012R2-16 软件部署
Win2016 故障處理:目录服务无法分配相对标识符
评论(尚無留言)
验证码