web-dev-qa-db-ja.com

Window Server 2012のパスワードイベントIDの期限切れ

ユーザーアカウントのパスワードが期限切れになったときにイベントIDが生成されますか?イベントを通じてトリガーされるスクリプトを記述したいと思っていましたか?

私は見回しましたが、パスワードの有効期限に関連するものは何も見つかりませんでした-アカウントの有効期限に関連するものだけが見つかりました。

3
patJR

つまり、いいえ。

パスワードの有効期限は、実際に発生するイベントではありません。これは、アカウントの属性とアカウントに適用されるパスワードポリシーに基づいて、認証時にDCが実行する計算です。パスワードの最大有効期限に関するポリシーを変更したり、有効期限が切れないようにフラグを追加したりすると、現在パスワードの有効期限が切れているアカウントが有効期限切れにならない可能性があります。

したがって、パスワードの有効期限が切れたアカウントで何かを行うスクリプトを記述しようとしている場合は、特定の時点の計算としても実行する必要があります。 ADが2008ベース以降の場合、 msDS-UserPasswordExpiryTimeComputed 構築された属性にアクセスできます。これは、基本的にパスワードの有効期限に寄与するすべてのものを考慮し、そのユーザーのパスワードがいつタイムスタンプになるかを示すタイムスタンプを提供します(または)期限切れ。

1
Ryan Bolger

これらはあなたが話しているActive Directoryユーザーなので、イベントでトリガーするのではなく、ドメインをクエリしてみませんか?有効期限が切れたアカウントを検索し、必要に応じてユーザーに電子メールを送信する scripts available があります。

有効期限が切れたパスワードを見つけたら、どうするつもりかはわかりませんが、次のPowerShellクエリを実行すると、有効期限が切れたパスワードを持つ有効なドメインユーザーアカウントがすべて取得されます。

Get-ADUser -Filter {(Enabled -eq $true) -and (PasswordNeverExpires -eq $false)} -Properties PasswordNeverExpires,PasswordExpired | where {$_.PasswordExpired -eq $true}

すべてのドメインコントローラーでイベントIDタスクトリガーを実行するよりも、そのコマンドの出力をループする方がはるかに簡単です(複数のドメインコントローラーがある場合)。

0
twconnell