none
ADS Benutzer "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" RRS feed

  • Frage

  • Hallo Forum,

    habe Folgendes Problem:

    -Ein User vergisst sein Password oder gibt es mehrmals falsch ein = Benutzer Konto gesperrt.

    -Der User kommt zu mir und sagt entsperre mein Password (bzw. das Benutzer Konto) ich Frage ob er das alte noch weiß bei einem Ja ist alles OK

    -Jetzt sagt der User aber Nein jetzt vergebe ich ein neues Passwort und jetzt dann den Harken "Benutzer muss Kennwort bei der nächsten Anmeldung ändern" und alles ist OK.

    -Jetzt muss ich nachweisen das der User das Passwort auch ändert!

    Ich finde aber nichts in den Log Dateien von Windows. Ist das überhaupt möglich ?

    Oder gibt es da eine andere Möglichkeit?

    MfG

     

    Markus

     

    Montag, 13. September 2010 14:46

Antworten

  • Moin,

    als andere Möglichkeit würde ich pwdLastSet z.B. mit ADSIEdit auslesen, wenn es 0 ist, dann muß er noch ändern.

    Geht aber auch mit der Powershell mit den Questerweiterungen ganz einfach:

    get-qaduser userName | ft usermustchangepassword  

    Da sollte dann true oder false stehen.

    Munter bleiben

    Gerd

    Mittwoch, 15. September 2010 15:51
  • Servus,

    > Geht aber auch mit der Powershell mit den Questerweiterungen ganz einfach:

    es geht noch einfacher, ohne etwas installieren zu müssen mit dsquery oder einer gespeicherten Abfrage.

    Alle Benutzer die bei ihrer nächsten Anmeldung ihr Kennwort ändern müssen, lassen sich auf diese Art anzeigen:
    dsquery * -filter "(&(objectCategory=person)(pwdLastSet=0))" -attr name

    Alle "aktivierten" (und keine deaktivierten) Benutzer anzeigen, die bei der nächsten Anmeldung ihr Kennwort ändern müssen:
    (objectCategory=person)(objectClass=user)(pwdLastSet=0)(!useraccountcontrol:1.2.840.113556.1.4.803:=2)

    [LDAP://Yusufs.Directory.Blog/ - Gespeicherte Abfragen]
    http://blog.dikmenoglu.de/Gespeicherte+Abfragen.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 16. September 2010 09:03
    Moderator

Alle Antworten

  • Hi,

    Am 13.09.2010 16:46, schrieb Markus2708:

    -Jetzt muss ich nachweisen das der User das Passwort auch ändert!
    Ich finde aber nichts in den Log Dateien von Windows.

    Steht es nicht im Security Eventlog des Anmeldeservers?
    siehe %logonserver%

    Ansonsten musst du nur nachweisen, daß du die Checkbox aktiviert hast.
    Diese schafft Fakten, da hat es noch keinen "hoppla, musste doch nicht
    ändern" gegeben.
     Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:    www.gruppenrichtlinien.de - deutsch
    NNTP Bridge: http://communitybridge.codeplex.com/releases

    Montag, 13. September 2010 15:40
  • -Jetzt muss ich nachweisen das der User das Passwort auch ändert!

    Einfach "NET USER benutzer" auf der Kommandozeile gibt dir doch an, wann das Kennwort zuletzt geändert wurde? (Leider immer nur für den aktuelen DC, also notfalls auf allen DC nacheinander ausführen),

     

    Dienstag, 14. September 2010 16:29
  • Moin,

    als andere Möglichkeit würde ich pwdLastSet z.B. mit ADSIEdit auslesen, wenn es 0 ist, dann muß er noch ändern.

    Geht aber auch mit der Powershell mit den Questerweiterungen ganz einfach:

    get-qaduser userName | ft usermustchangepassword  

    Da sollte dann true oder false stehen.

    Munter bleiben

    Gerd

    Mittwoch, 15. September 2010 15:51
  • Servus,

    > Geht aber auch mit der Powershell mit den Questerweiterungen ganz einfach:

    es geht noch einfacher, ohne etwas installieren zu müssen mit dsquery oder einer gespeicherten Abfrage.

    Alle Benutzer die bei ihrer nächsten Anmeldung ihr Kennwort ändern müssen, lassen sich auf diese Art anzeigen:
    dsquery * -filter "(&(objectCategory=person)(pwdLastSet=0))" -attr name

    Alle "aktivierten" (und keine deaktivierten) Benutzer anzeigen, die bei der nächsten Anmeldung ihr Kennwort ändern müssen:
    (objectCategory=person)(objectClass=user)(pwdLastSet=0)(!useraccountcontrol:1.2.840.113556.1.4.803:=2)

    [LDAP://Yusufs.Directory.Blog/ - Gespeicherte Abfragen]
    http://blog.dikmenoglu.de/Gespeicherte+Abfragen.aspx


    Viele Grüße aus Mainz
    Yusuf Dikmenoglu - Microsoft MVP - Directory Services
    Blog: LDAP://Yusufs.Directory.Blog/
    Jetzt anmelden an der: AD Mailingliste
    Donnerstag, 16. September 2010 09:03
    Moderator