Active Directory でデフォルトで有効になっているパスワード ポリシーは、ユーザーのパスワードの最大有効期間を設定します。パスワードの有効期間がこの値を超えると、パスワードは期限切れとみなされ、ユーザーは次回のログイン時にパスワードを変更する必要があります。
管理者は、ドメイン ユーザーが期限切れのパスワードを変更できない場合 (たとえば、ユーザーが VPN または RDS 経由で企業ネットワークに接続している場合)、アカウントの [パスワードを無期限にする] オプションを有効にせずに、パスワードの有効期限を延長できます。
PowerShell を使用して、AD でのユーザーのパスワードの有効期限を確認します。
Get-ADUser -Identity e.herrmann -Properties msDS-UserPasswordExpiryTimeComputed, PasswordLastSet, PasswordNeverExpires, PasswordExpired |Select-Object -Property Name,PasswordLastSet, PasswordNeverExpires, PasswordExpired,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
この場合、ユーザーのパスワードの有効期限が切れています(PasswordExpired=True)。パスワードの有効期限は、という名前の計算された属性に保存されます。msDS-UserPasswordExpiryTimeComputed。この属性の値は、pwdLastSetパラメータと、その結果としてユーザーに適用されるパスワード ポリシー。
Get-ADUser e.herrmann -Properties pwdLastSet | select SamAccountName,@{Name="pwdLastSet";Expression={[datetime]::FromFileTime($_.pwdLastSet)}}
pwdLastSet 属性には、ミリ秒形式 (Windows NT 時間) の日付が含まれます。ただし、次の特別な値のいずれかを使用できます。
- 0– リセットする
pwdlastset値 (パスワードが設定されていないことを意味します) - -1– ユーザーパスワード変更日を現在時刻にリセットします
ユーザー属性の値を変更するには、Set-ADUser PowerShell コマンドレットを使用します。まず 0 を設定し、次に -1 を設定する必要があります。
Set-ADUser e.herrmann -Replace @{pwdLastSet="0"}
Set-ADUser e.herrmann -Replace @{pwdLastSet="-1"}
次に、ユーザーのパスワードの変更日と有効期限を確認してみましょう。パスワード変更日が現在の日付に変更され、ユーザーのパスワードの有効期限が延長されました。
関連している:Active Directory でユーザーのパスワードをリセットする方法
AD では特定のパスワード変更日を設定することはできません。
ユーザー パスワードを延長するこの方法は、ユーザー パスワードを無期限に設定した後、またはドメイン パスワードの有効期限ポリシーを有効にする場合にも使用できます。PasswordNeverExpiresオプションが有効になりました。このポリシーを有効にすると、すべてのユーザーにパスワードの同時変更が強制され、作業プロセスが中断される可能性があります。このポリシーを適用する前に、指示に従ってすべてのユーザーのパスワードの有効期限を延長してください。
