搜尋此網誌

2014/08/04

列出Windows ActiveDirectory中,超過一定天數沒改過密碼的帳號

使用Windows PowerShell

指令 (二行):
Import-Module ActiveDirectory
Get-ADUser -filter * -properties PasswordLastSet,Created,Enabled,EmailAddress | Where { ($_.Enabled -eq 1) -and  ((($_.passwordLastSet) -and ($_.passwordLastSet -lt (Get-Date).AddDays(-87))) -or ((!$_.passwordLastSet) -and ($_.Created -lt (Get-Date).AddDays(-87)))) } | Select Name,PasswordLastSet,Created,Enabled

上述指令會列出87天內,帳號是啟用狀態,但是還沒改密碼的全部帳號,如果要列出不同天數,將指令中的二個數字87改掉即可

如果要查單一帳號的狀況:
Get-ADUser ‘username’ -properties PasswordLastSet,Created,Enabled,EmailAddress | Format-List

把上述Username改成要查的帳號名稱即可