none
AD域账号密码问题 RRS feed

  • 问题

  • 当前域环境中用户都勾选了密码永不过期的选项,现在要求将这些用户的密码永不过期去掉,组策略中设置了60天密码过期时间,但这些用户密码修改时间的肯定已经超过了60天,如果现在把用户的密码永不过期的选项去掉,那这些用户的密码会立即过期吗?这个策略是遵从账户的最后一次修改秘密的时间来算的吗?

    有什么办法可以避免取消密码永不过期,但不影响用户使用呢

    谢谢!

    2018年11月14日 2:49

答案

  • 你好 Yangv,

    >>这些用户密码修改时间的肯定已经超过了60天,如果现在把用户的密码永不过期的选项去掉,那这些用户的密码会立即过期吗?

    会。

    >>这个策略是遵从账户的最后一次修改密码的时间来算的吗?

    是的。

    在ADUC打开“查看”里面的“高级”,在用户属性中的“Atribute Editor”中可以找到属性-pwdLastSet, 策略就跟这个时间对比结果的。

    >>有什么办法可以避免取消密码永不过期,但不影响用户使用呢?

    我的理解是不想用户集体出现密码过期。

    我找的方法是的把这个最后设置的密码日期重置到当前日期,这样就是下一个60天后,会陆续提醒用户更改密码。

    你可以先手动测试一个账户,先把pwdLastSet改为0,在改为-1 。这样就把pwdLastSet改成是当前日期了。

    批量的vbs脚本,参考下面的链接:

    Change password expiration date in Active Directory using VBS

    参考:

    https://docs.microsoft.com/en-us/windows/desktop/AD/security-properties 


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Yangv 2019年2月26日 5:30
    2018年11月15日 7:29
    版主

全部回复

  •  我目前也是这种情况,建用户时候设置是永不过期,组策略中设置的30天更改密码,但是现在都60多天了客户端不会提示更改密码,尝试手动修改一个用户把“永不过期”选项去掉,客户端刷新组策略 立马提示更改密码;找到方法了记得告诉我。

    will pan

    2018年11月14日 5:50
  • 你好 Yangv,

    >>这些用户密码修改时间的肯定已经超过了60天,如果现在把用户的密码永不过期的选项去掉,那这些用户的密码会立即过期吗?

    会。

    >>这个策略是遵从账户的最后一次修改密码的时间来算的吗?

    是的。

    在ADUC打开“查看”里面的“高级”,在用户属性中的“Atribute Editor”中可以找到属性-pwdLastSet, 策略就跟这个时间对比结果的。

    >>有什么办法可以避免取消密码永不过期,但不影响用户使用呢?

    我的理解是不想用户集体出现密码过期。

    我找的方法是的把这个最后设置的密码日期重置到当前日期,这样就是下一个60天后,会陆续提醒用户更改密码。

    你可以先手动测试一个账户,先把pwdLastSet改为0,在改为-1 。这样就把pwdLastSet改成是当前日期了。

    批量的vbs脚本,参考下面的链接:

    Change password expiration date in Active Directory using VBS

    参考:

    https://docs.microsoft.com/en-us/windows/desktop/AD/security-properties 


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Yangv 2019年2月26日 5:30
    2018年11月15日 7:29
    版主
  • 你好 风吹屁屁,

    PasswordExpirationDate
    The password expiration date is not an attribute on the user object. It is a calculated value based on the sum of pwdLastSet for the user and maxPwdAge of the user's domain. To get the password expiration date, get the IADsUser.PasswordExpirationDate property. You cannot modify this attribute for a user; instead, set the IADsDomain.MaxPasswordAge property to change the setting for the domain. 

    勾选never expired的话,PasswordExpirationDate 就不会计算,如果没有永不过期,就会计算。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月15日 7:32
    版主
  • 您好

    非常感谢您给出的方法,按照您给出的方法我试了一下确实是可以的,但是当我用命令去修改这条参数的时候,无法修改,只能通过在用户属性里手动更改,是不是我的参数格式有问题,还是此参数不可以使用Set-ADUser,如果要批量的话就要用到命令,有什么好的方法或者建议吗

    PS C:\Users\Administrator> Get-ADUser -Identity testuser -Properties * |Set
    -ADUser -PasswordLastSet "0"
    Set-ADUser : A parameter cannot be found that matches parameter name
    'PasswordLastSet'.
    At line:1 char:62
    + Get-ADUser -Identity testuser -Properties * |Set-ADUser
    -PasswordLastSet "0 ...
    +                                                              ~~~~~~~~~~~~~~~~
        + CategoryInfo          : InvalidArgument: (:) [Set-ADUser], ParameterBind
       ingException
        + FullyQualifiedErrorId : NamedParameterNotFound,Microsoft.ActiveDirectory
       .Management.Commands.SetADUser

    2018年11月16日 5:27
  • 你好,

    Set-ADUser 下面没有-PasswordLastSet这个参数。

    https://docs.microsoft.com/en-us/powershell/module/addsadministration/set-aduser?view=win10-ps

    参考下面的vbs脚本:

    PwdLastSet - possible to change ?


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月16日 9:12
    版主