Visualizzazione post con etichetta ChangePasswordAtLogon. Mostra tutti i post
Visualizzazione post con etichetta ChangePasswordAtLogon. Mostra tutti i post

lunedì 26 settembre 2022

PowerShell: Forzare il cambio password per tutti gli utenti appartenenti ad una UO

Per forzare la reimpostazione della password da parte degli utenti appartenenti ad una specifica UO è possibile farlo in blocco utilizzando i cmdlet Get-ADUser e Set-ADUser.
Il comando mostrato di seguito utilizza un filtro per ottenere gli utenti appartenenti all'unità organizzativa (UO) "Direzione" e, tramite pipe, per ciascun account viene impostata l'opzione Cambiamento obbligatorio password.
 Get-ADUser -Filter * -SearchScope OneLevel -SearchBase "OU=Direzione,DC=mycompany,DC=local" | Set-ADUser -ChangePasswordAtLogon $true  
Per agire anche sulle UO sottostanti basta modificare il paramentro -SearchScope passandogli il valore Subtree
 Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Direzione,DC=mycompany,DC=local" | Set-ADUser -ChangePasswordAtLogon $true  
PowerShell, ChangePasswordAtLogon
FIG 1 - PowerShell, ChangePasswordAtLogon

Utenti e computer di Active Directory, Cambiamento obbligatorio password
FIG 2 - Utenti e computer di Active Directory, Cambiamento obbligatorio password




giovedì 22 settembre 2022

PowerShell: Forzare un utente in AD a cambiare password al logon successivo

Per fare in modo che un utente in Active Directory, al successivo logon, modifichi la password si può utilizzare il cmdlet Set-ADUser.

Il comando è molto semplice, basta indicare l'account su cui intervenire e passare al parametro ChangePasswordAtLogon il valore $true (oppure 1). Il comando sarà simile a:
Set-ADUser -Identity Giovanni.Lubrano -ChangePasswordAtLogon $true
Set-ADUser, ChangePasswordAtLogon
FIG 1 - Set-ADUser, ChangePasswordAtLogon

Andando a verificare in Utenti e computer di Active Directory, dopo aver eseguito il comando, vedremo che per l'account specificato è stata attivata la voce Cambiamento obbligatorio password.
Proprietà account in AD
FIG 2 - Proprietà account in AD


Volendo possiamo creare un semplice script che ci richiede l'account su cui forzare il cambio password al logon successivo.
 $User = (Read-Host -Prompt "Username")  
 Set-ADUser -Identity $User -ChangePasswordAtLogon $true