Продление действия пароля учетной записи

В ActiveDirectory у каждой учетной записи есть два значения, которые указывают на последнее время смены пароля учетной записи.

pwdLastSet и PasswordLastSet

Отличаются они форматом записи даты.

pwdLastSet хранит время назначения пароля в виде большого числа, которое представляет собой число интервалов по 100 наносекунд (OMG😱), начиная отчет с 1.01.1601 года в стандарте UTC ( Coordinated Universal Time )

Следующей командой можно перевести значение свойства pwdLastSet в формат читаемой даты:

PasswordLastSet в свою очередь, отображает дату в читаемом формате. Но рассказ совсем не про этот параметр…

Сбрасываем время задания пароля

Параметр pwdLastSet помимо времени в наносекундах может принимать еще два значения:

  • 0 — сбрасывает счетчик в состояние «Пароль никогда не был задан»
  • -1 — сбрасывает значение на текущую дату и время

Вводить нужно команды последовательно.
Сначала задаем «0», потом «-1»

Проверяем результат

Введя эту команду мы увидим что значения pwdLastSet и PasswordLastSet изменились на текущую дату и время

Когда это может понадобится?

При активации парольной политики.
Если по какой то причине, вы использовали учетные записи с включенным свойством PasswordNeverExpires.
После активации политики, вы вероятно захотите снять данную галочку со всех учетных записей, и таким образом заблокируете эти учетки.
Это произойдет по той причине, что значение парольной политики «Enforce minimum password age» по умолчанию равно единице.
А дата установки пароля, вычтенная из
(Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge.Days

при активации политики, будет иметь отрицательное значение(меньше единицы),
что приведет к автоматической блокировке учеток

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *