Wie kann ich erzwingen, dass das Domänenbenutzerkonto bei der nächsten Anmeldung das Kennwort ändert? Einfach öffnenActive Directory-Benutzer und -ComputerMMC-Snap-In (DSA.MSC) durch Auswahl von Start -> Verwaltung -> Active Directory-Benutzer und -Computer und suchen Sie den gewünschten AD-Benutzer. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften. Um zu erzwingen, dass das Konto das Passwort ändert, kreuzen Sie einfach das „Der Benutzer muss das Passwort bei der nächsten Anmeldung ändernKontrollkästchen.
Nun fragen Sie sich vielleicht: Gibt es eine Möglichkeit, dies für alle Benutzer in einer einzelnen Organisationseinheit zu tun? In diesem Beitrag zeige ich, wie man mit einem einfachen Powershell-Skript alle AD-Benutzerkonten dazu zwingt, bei der nächsten Anmeldung ihr Passwort zu ändern.
Tipps:Wenn Sie das AD-Administratorkennwort vergessen haben und von Ihrem Domänencontroller ausgeschlossen werden, können Sie das Kennwort zurücksetzen, indem Sie Ihren Server mit der PCUnlocker Live-CD starten.
Wie erzwinge ich, dass alle AD-Benutzerkonten bei der nächsten Anmeldung ihre Passwörter ändern?
Klicken Sie auf Start und navigieren Sie dann zu Alle Programme -> Zubehör -> Windows PowerShell. Klicken Sie mit der rechten Maustaste auf Windows PowerShell und wählen SieAls Administrator ausführenaus dem Kontextmenü.
Mit den Befehlen „Get-ADUser“ und „Set-ADUser“ können Sie alle Domänenbenutzerkonten in einer Organisationseinheit zwingen, ihre Kennwörter bei der nächsten Anmeldung zu ändern. Für diese Demo verwende ich IT OU. Der vollqualifizierte Domänenname unserer Windows-Domäne lautet corp.top-password.com.
Der folgende Befehl zwingt alle Benutzer in der IT-Abteilung, beim Anmelden ihr Passwort zu ändern.
Get-ADUser -Filter * -SearchBase „OU=IT,DC=corp,DC=top-password,DC=com“ | Set-ADUser -ChangePasswordAtLogon:$true
Dies kann jedoch dazu führen, dass einige AD-Benutzer von ihren Computern ausgeschlossen werden, wenn das Attribut „Benutzer kann Passwort nicht ändern“ festgelegt ist. Um ein solches Problem zu vermeiden, ist es besser, auch die Attribute „Benutzer kann Passwort nicht ändern“ und „Passwort läuft nie ab“ zu deaktivieren.
Get-ADUser -Filter * -SearchBase „OU=IT,DC=corp,DC=top-password,DC=com“ | Set-ADUser -CannotChangePassword:$false -PasswordNeverExpires:$false -ChangePasswordAtLogon:$true
Nach der Ausführung des PowerShell-Befehls werden alle Ihre Benutzer beim nächsten Neustart gezwungen, ihr eigenes Passwort zu ändern. Wenn Sie den AD-Benutzern nicht erlauben, ein leeres Passwort festzulegen, können Sie eine Gruppenrichtlinie für Ihre eigenen Zwecke einrichten, indem Sie die in unserem vorherigen Beitrag beschriebenen Schritte ausführen: So ändern Sie die Active Directory-Passwortrichtlinie in Windows Server 2008.
![[Update] Microsoft PowerToys 0.87.0 für Windows 10/11 veröffentlicht](https://media.askvg.com/articles/images7/Windows_10_PowerToys.png)
