Passordpolicyen, som er aktivert som standard i Active Directory, angir en maksimal alder for en brukers passord. Hvis passordalderen overskrider denne verdien, anses den som utløpt, og brukeren må endre den ved neste pålogging.
Administratoren kan forlenge passordets utløpsdato når en domenebruker ikke kan endre sitt utløpte passord (for eksempel når en bruker kobler til et bedriftsnettverk via VPN eller RDS) uten å aktivere alternativet Passord utløper aldri for kontoen.
Bruk PowerShell for å sjekke utløpsdatoen til brukerens passord i AD:
Lær mer:Slik tilbakestiller du et brukerpassord i Active Directory
Get-ADUser -Identity e.herrmann -Properties msDS-UserPasswordExpiryTimeComputed, PasswordLastSet, PasswordNeverExpires, PasswordExpired |Select-Object -Property Name,PasswordLastSet, PasswordNeverExpires, PasswordExpired,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
I dette tilfellet har brukerens passord utløpt (PasswordExpired=True). Passordets utløpsdato er lagret i et beregnet attributt navngittmsDS-UserPasswordExpiryTimeComputed. Dette attributtets verdi beregnes basert på verdien avpwdLastSetparameter og den resulterende passordpolicyen som gjelder for brukeren.
Get-ADUser e.herrmann -Properties pwdLastSet | select SamAccountName,@{Name="pwdLastSet";Expression={[datetime]::FromFileTime($_.pwdLastSet)}}
pwdLastSet-attributtet inneholder datoen i millisekundformat (Windows NT-tid). Den kan imidlertid ha en av følgende spesielle verdier:
- 0– tilbakestill
pwdlastsetverdi (betyr at passordet aldri ble angitt) - -1– tilbakestill endringsdatoen for brukerpassordet til gjeldende klokkeslett
For å endre verdien til brukerattributtet, bruk Set-ADUser PowerShell cmdlet. Først må du sette 0 og deretter -1.
Set-ADUser e.herrmann -Replace @{pwdLastSet="0"}
Set-ADUser e.herrmann -Replace @{pwdLastSet="-1"}
La oss nå sjekke brukerens passordendring og utløpsdatoer. Datoen for endring av passord er endret til gjeldende dato, og utløpsdatoen for brukerens passord er forlenget.
Det er umulig å angi en bestemt dato for endring av passord i AD.
Denne metoden for å utvide brukerpassord kan også brukes hvis du planlegger å aktivere en utløpspolicy for domenepassord etter at brukerpassord er satt til å aldri utløpe ellerPasswordNeverExpiresalternativet er aktivert. Aktivering av denne policyen vil tvinge alle brukere til å endre passordene sine samtidig, og potensielt forstyrre arbeidsprosessene Før du bruker denne policyen, forleng passordets utløpsdato for alle brukere som anvist.
