Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Artikel für die Kategorie ”PowerShell”

PowerShell: Ablaufdatum des eigenen Kennworts ermitteln

Durch Richtlinien erzwungene, wechselnde Kennwörter sind in Active Directory Umgebungen ein probates Mittel, um den Kennwort-Hash eines Benutzers zyklisch zu ändern. Arbeitet man in vielen unterschiedlichen Umgebungen – bspw. im Support für Kunden – so entsteht oftmals die Frage, wie lange das eigene Kennwort eigentlich noch gültig ist.

Der folgende PowerShell-Befehl löst dieses Rätsel in kürzester Zeit. Dabei wird das Attribut msDS-UserPasswordExpiryTimeComputed des Benutzer-Objektes ausgelesen und die verbleibende Gültigkeit in Tagen berechnet:

([System.Security.Principal.WindowsIdentity]::GetCurrent().User).Value | get-aduser -Properties Displayname,PasswordLastSet,msDS-UserPasswordExpiryTimeComputed | Select-Object -Property Displayname,SamAccountName,PasswordLastSet,@{Name="ExpirationDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}},@{Name="Duration";Expression={$(New-TimeSpan -Start $(Get-Date) -End $([datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed"))).ToString("%d")+" days"}}

Das Ergebnis der Abfrage sieht dann in etwa so aus:

Anzeige und Berechnung der Gültigkeit des Kennwortes

Mit dem aufgeführten PowerShell-Kommando kommt man relativ zügig zum gewünschten Ergebnis. Wer mag, kann den Befehl auch in Anmelde-Skripten integrieren, um dem Benutzer eine etwas vorausschauendere Information über das Kennwortalter zu geben.

PowerShell: Benutzer-Eigenschaften im Active Directory auslesen oder ändern

Oftmals kommt es vor, dass man als Administrator verschiedenste Eigenschaften mehrerer Benutzer im Active Directory anzeigen lassen möchte, ohne – auf umständliche Weise – jeden Benutzer einzeln auszuwählen und über dessen Eigenschaften auf mehrere Reitern nach der gewünschten Information zu suchen.

Doch nicht nur die Suche, auch die Änderung mehrerer Eigenschaften, die für viele oder alle Benutzer identisch sein sollen, ist über die manuelle Eingabe extrem aufwendig. Befinden sich die Benutzer dann noch geordnet in unterschiedlichen Organisationseinheiten (OU), ist die Administration mit Hilfe der MMC Active Directory-Benutzer und Computer nahezu unbrauchbar.

Beitrag weiterlesen …