Die Kennwortrichtlinie, die standardmäßig in Active Directory aktiviert ist, legt ein maximales Alter für das Kennwort eines Benutzers fest. Wenn das Kennwortalter diesen Wert überschreitet, gilt es als abgelaufen und der Benutzer muss es bei der nächsten Anmeldung ändern.
Der Administrator kann das Ablaufdatum des Passworts verlängern, wenn ein Domänenbenutzer sein abgelaufenes Passwort nicht ändern kann (z. B. wenn ein Benutzer über VPN oder RDS eine Verbindung zu einem Unternehmensnetzwerk herstellt), ohne die Option „Passwort läuft nie ab“ für das Konto zu aktivieren.
Verwenden Sie PowerShell, um das Ablaufdatum des Benutzerkennworts in AD zu überprüfen:
Erfahren Sie mehr:So setzen Sie ein Benutzerkennwort in Active Directory zurück
Get-ADUser -Identity e.herrmann -Properties msDS-UserPasswordExpiryTimeComputed, PasswordLastSet, PasswordNeverExpires, PasswordExpired |Select-Object -Property Name,PasswordLastSet, PasswordNeverExpires, PasswordExpired,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
In diesem Fall ist das Passwort des Benutzers abgelaufen(PasswordExpired=True). Das Ablaufdatum des Passworts wird in einem berechneten Attribut mit dem Namen gespeichertmsDS-UserPasswordExpiryTimeComputed. Der Wert dieses Attributs wird basierend auf dem Wert des berechnetpwdLastSetParameter und die daraus resultierende Passwortrichtlinie, die für den Benutzer gilt.
Get-ADUser e.herrmann -Properties pwdLastSet | select SamAccountName,@{Name="pwdLastSet";Expression={[datetime]::FromFileTime($_.pwdLastSet)}}
Das Attribut pwdLastSet enthält das Datum im Millisekundenformat (Windows NT-Zeit). Es kann jedoch einen der folgenden Sonderwerte annehmen:
- 0– Setzen Sie die zurück
pwdlastsetWert (bedeutet, dass das Passwort nie festgelegt wurde) - -1– Setzen Sie das Datum der Änderung des Benutzerpassworts auf die aktuelle Uhrzeit zurück
Um den Wert des Benutzerattributs zu ändern, verwenden Sie das PowerShell-Cmdlet Set-ADUser. Zuerst müssen Sie 0 und dann -1 einstellen.
Set-ADUser e.herrmann -Replace @{pwdLastSet="0"}
Set-ADUser e.herrmann -Replace @{pwdLastSet="-1"}
Lassen Sie uns nun das Änderungs- und Ablaufdatum des Passworts des Benutzers überprüfen. Das Datum der Passwortänderung wurde auf das aktuelle Datum geändert und das Ablaufdatum des Passworts des Benutzers wurde verlängert.
Es ist nicht möglich, in AD ein bestimmtes Datum für die Passwortänderung festzulegen.
Diese Methode zum Erweitern von Benutzerkennwörtern kann auch verwendet werden, wenn Sie planen, eine Ablaufrichtlinie für Domänenkennwörter zu aktivieren, nachdem Benutzerkennwörter so festgelegt wurden, dass sie nie ablaufenPasswordNeverExpiresOption wurde aktiviert. Durch die Aktivierung dieser Richtlinie werden alle Benutzer gezwungen, ihre Passwörter gleichzeitig zu ändern, was möglicherweise Arbeitsprozesse stört. Verlängern Sie vor der Anwendung dieser Richtlinie das Ablaufdatum des Passworts für alle Benutzer gemäß den Anweisungen.
