查找密码设置为永不过期的用户帐户

您是否需要获取密码设置为永不过期的用户帐户列表？

这可以通过 PowerShell 和 Active Directory 用户控制台来完成。我将向您展示列出这些帐户的具体步骤。

不建议将用户帐户密码设置为永不过期，这可能会带来安全风险。对于普通用户帐户，最佳做法是制定密码策略，要求用户在一段时间（常见的是 60 到 90 天）后更改密码。

有时这是无法避免的，例如使用服务帐户。许多供应商需要一个帐户作为具有不过期密码的服务帐户运行。 Active Directory 管理员应对 Active Directory 进行定期维护，以发现这些存在潜在风险的帐户。

维护应包括查找已禁用的用户帐户、未使用的计算机或用户帐户以及设置为永不过期的密码。应根据您组织的政策来保护或删除这些已识别的帐户。本文提供了三种不同的方法来列出密码设置为永不过期的用户帐户。

Active Directory 密码永不过期属性

AD Pro 工具包包含 Active Directory 报告软件，可以快速获取所有用户帐户的密码永不过期属性。请参阅以下步骤。

第 1 步：点击报告

打开工具包并单击顶部菜单中的报告。

第 2 步：选择密码状态报告

在“密码状态”部分下，单击“密码设置为永不过期的用户”报告，然后单击运行按钮。

您现在应该拥有域中密码设置为永不过期的所有用户的列表。在下面的屏幕截图中，该工具在我的域中找到了 17 个用户帐户。

第三步：导出列表

您可以单击导出按钮将列表导出为 CSV、XLSX 或 PDF。

该工具包包括许多其他有用的用户报告，例如密码错误时间、密码即将过期、无法更改密码的用户等等。

下载 AD Pro 工具包并免费试用。

方法2：使用常用查询获取永不过期的密码

在此示例中，我将使用 ADUC 控制台中的常见查询来列出密码永不过期的所有用户。

1. 打开 Active Directory 用户和计算机。

2. 单击工具栏中的查找按钮。

3. 在“查找常见查询”窗口中，选择“常见查询”和“整个目录”。选中“不过期密码”框，然后单击“立即查找”按钮。

我的搜索返回了三个帐户，其密码设置为永不过期。

方法 3：使用 PowerShell 列出密码永不过期的用户

在最后一个示例中，我将使用 search-ADaccount PowerShell cmdlet。

1. 打开 PowerShell。

2. 输入以下命令并按 Enter 键。

Search-ADAccount -PasswordNeverExpires | FT Name,ObjectCkass -A

您还可以使用 get-aduser cmdlet 来获得类似的结果。

get-aduser -filter * -properties Name, PasswordNeverExpires | where {
$_.passwordNeverExpires -eq "true" }

上述命令将过滤所有用户帐户的PasswordNeverExpires 属性，并仅显示设置为true 的用户。

概括

在本文中，我们介绍了 3 个不同的选项来获取密码永不过期的用户列表。有时，系统管理员将帐户密码设置为永不过期，这可能会削弱您的 AD 安全性。

正如我在本文中提到的，您应该配置一个域密码策略，要求用户定期（例如 60 天）更改其密码。要跟踪启用密码永不过期属性的帐户，您需要对所有用户帐户运行定期报告。 AD Pro 工具包可以非常轻松地生成所有用户帐户的报告。

相关：查找 Active Directory 中所有锁定用户帐户的 2 种简单方法