如何获取 Active Directory 中密码过期的通知

本文将介绍如何编写一个脚本来读取所有用户上次过期的密码并检测其过期时间。然后它会发送一封电子邮件。

如今，密码并不是保护信息最安全的方法，但几乎在任何地方仍然会使用密码。企业部门的 IT 专业人员可能会为其用户管理数万或数十万个密码。确保每个员工都知道自己的密码并能够成功登录以完成工作非常重要，否则工作就会停止。

员工可能因密码问题而无法登录的原因有多种。第一个也是最常见的原因是密码遗忘症。他们只是忘记了密码，在这种情况下，只需重置密码即可让他们恢复并重新开始。另一个常见原因是密码过期。你无法为前者做好准备，但为后者做好准备却很容易。

大多数组织都有密码策略来限制密码的使用时间。这是一个很好的安全实践，但俗话说“安全是可用性的敌人”有时对于用户的生产力来说并不是一个好兆头。员工都很忙碌，更改密码是他们的待办事项列表中最不重要的优先事项之一。然而，这是确保安全的 Active Directory 环境必须完成的一项关键任务。当密码过期时，您如何尝试让用户在工作中断之前更改密码？给他们发电子邮件。

在 Active Directory 中，如果将密码策略设置为在特定时间间隔内使密码过期，则每个用户帐户都将具有一个名为 pwdLastSet 的属性。 该属性指定用户上次使用密码的日期和时间改变了。为了在用户的密码即将过期时向用户发送电子邮件，我们必须做一些数学计算。别担心，这不是微积分。 pwdLastSet 属性很好，但没有告诉我们密码何时实际过期。我们需要知道密码策略是如何配置的。

让我们使用 PowerShell 查找所有密码即将过期的用户帐户，然后通过电子邮件发送给他们。首先，我们需要安装远程服务器管理工具 (RSAT) 软件包。这包括 Microsoft 的 Active Directory PowerShell 模块，该模块将包含查询 Active Directory 的所有命令。安装完成后，您现在应该可以在 PowerShell 控制台中使用所有 Active Directory cmdlet。

第一个任务是查找用户帐户上的pwdLastSet 属性。使用 Active Directory 模块时，此属性有一个名为“PasswordLastSet”的友好名称。

您可以看到我只有几个用户帐户以及上次设置密码的时间。现在我有了该属性，我现在需要弄清楚如何配置密码策略。我需要了解 Active Directory 密码过期需要多长时间。为此，我将使用 Get-AdDefaultDomainPasswordPolicy cmdlet。

从上面的例子可以看出，密码的最长使用时间是42天。现在，我们有了每个用户密码的最后一次更改时间以及这些日期之后密码过期的时间。我们现在需要找出这些密码还需要多少天才能过期。 您可以在屏幕截图中看到，其中三个用户帐户的密码将在 41 天后过期。

现在您有了这些信息，您的脚本就可以向这些用户发送电子邮件，让他们知道他们的密码将在 X 天后过期等。

将所有这些功能整合在一起的方法比一篇简单的文章所能产生的更为复杂。我创建了一个预构建的脚本，足以让您的用户收到 Active Directory 密码过期的通知。

如果您不想在 PowerShell 中修改代码来实现这一切，Netwrix Auditor 有一项名为“密码过期警报”的功能，它允许非常相似的功能，但具有易于导航的 GUI 和更多选项。如果您需要更强大的工具，我强烈建议您检查一下该工具。