在 Active Directory 中查找密码设置为永不过期的用户

在尝试改善 Active Directory 环境的安全状况时，您应该执行的标准检查是确保您对将密码设置为不过期的任何帐户都有有效的推理。 您还应确保用户使用的任何日常帐户均符合您的密码政策，且未设置为永不过期。

在本教程中，我将向您展示如何使用 PowerShell 查找 Active Directory 中设置为不过期的所有帐户。

查找密码设置为永不过期的所有用户

如果您想查找密码设置为永不过期的所有用户帐户的列表，您可以在 PowerShell 中运行以下脚本。

首先从域控制器打开 PowerShell，这将确保已安装必要的管理工具来运行这些命令。

运行以下命令可查看密码设置为永不过期的所有 Active Directory 用户的列表。这将显示用户名的结果以及该帐户是否已启用，了解这一点很有用。

Get-ADUser -Properties PasswordNeverExpires | `
where {$_.passwordNeverExpires -eq "true" } | `
Select-Object Name,Enabled

获得此信息后，您应该在编辑帐户对象的属性并取消选中该框以允许其密码过期之前告知用户您的意图。

查找所有密码设置为永不过期的管理员用户

在较大的环境中，通常很难区分哪些帐户是常规用户帐户，哪些帐户是管理员帐户。常见的 Active Directory 扫描工具（例如“Ping-Castle”）也会报告密码设置为不过期的管理员帐户。

为了在 PowerShell 中查找此信息，我们将在搜索帐户时在命令中包含 2 个过滤子句：

• (AdminCount -eq 1) - 这表明该帐户是特权帐户。
• (AccountNotDeleated -eq $false) - 这表示该帐户未用于服务。

运行以下命令，您将创建一个管理员用户帐户列表，并将密码设置为永不过期。

Get-ADUser -Filter {(AdminCount -eq 1) -and (AccountNotDelegated -eq $false)} `
-Properties PasswordNeverExpires | where {$_.passwordNeverExpires -eq "true" } | `
Select-Object Name,Enabled

有许多不同的安全组可能会导致用户帐户的 AdminCount 属性更新为 1。其中包括：

• 账户运营商
• 管理员
• 备份操作员
• 域管理员
• 域控制器
• 企业管理员
• 企业关键管理员
• 关键管理员
• 克尔比特
• 打印操作员
• 只读域控制器
• 复制器
• 架构管理员
• 服务器运营商