В ActiveDirectory у каждой учетной записи есть два значения, которые указывают на последнее время смены пароля учетной записи.

pwdLastSet и PasswordLastSet

Отличаются они форматом записи даты.

pwdLastSet хранит время назначения пароля в виде большого числа, которое представляет собой число интервалов по 100 наносекунд (OMG😱), начиная отчет с 1.01.1601 года в стандарте UTC ( Coordinated Universal Time )

Следующей командой можно перевести значение свойства pwdLastSet в формат читаемой даты:

Get-ADUser UserTest -Properties pwdLastSet | select SamAccountName,@{Name="pwdLastSet";Expression={[datetime]::FromFileTime($_.pwdLastSet)}}

PasswordLastSet в свою очередь, отображает дату в читаемом формате. Но рассказ совсем не про этот параметр…

Сбрасываем время задания пароля

Параметр pwdLastSet помимо времени в наносекундах может принимать еще два значения:

• 0 — сбрасывает счетчик в состояние «Пароль никогда не был задан»
• -1 — сбрасывает значение на текущую дату и время

Set-ADUser UserTest -Replace @{pwdLastSet='0'}
Set-ADUser UserTest -Replace @{pwdLastSet='-1'}

Вводить нужно команды последовательно.
Сначала задаем «0», потом «-1»

Проверяем результат

Get-ADUser UserTest -Properties * | ft SamAccountName,*EXPIRE*,whenChanged,pwdLastSet,PasswordLastSet

Введя эту команду мы увидим что значения pwdLastSet и PasswordLastSet изменились на текущую дату и время

Когда это может понадобится?

При активации парольной политики.
Если по какой то причине, вы использовали учетные записи с включенным свойством PasswordNeverExpires.
После активации политики, вы вероятно захотите снять данную галочку со всех учетных записей, и таким образом заблокируете эти учетки.
Это произойдет по той причине, что значение парольной политики «Enforce minimum password age» по умолчанию равно единице.
А дата установки пароля, вычтенная из
(Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days
при активации политики, будет иметь отрицательное значение(меньше единицы),
что приведет к автоматической блокировке учеток