Anbei einmal ein HowTo, wie der Passwort Ablauf aktiviert werden kann:
Kennwort-Ablauf konfigurieren:
Lesen ab –> PowerShell-Befehle für die Verwaltung von Active Directory-Kennwortrichtlinien
Um die Mail-Benachrichtigung zu aktivieren hier:
https://specopssoft.com/de/blog/wie-sie-benachrichtigungen-fur-ablaufende-passworter-einrichten/
Konfigurieren kann man diese Benachrichtigungen in der Gruppenrichtlinie, klicken Sie hierfür unter: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\ auf „Interactive logon: Prompt user to change before expiration“
Aber was ist mit Benutzern, die nicht ständig an der Domäne des Unternehmensnetzwerkes angemeldet sind? Was ist, wenn Sie eine bessere Kontrolle darüber haben wollen, wann Nutzer benachrichtigt werden sollen, oder welche Informationen Sie als Teil der Benachrichtigung zur Verfügung stellen wollen? (Zum Beispiel: Anforderungen an die Passwortrichtlinien).
Viele Administratoren verwenden Scripte, um Benutzer deren Passwörter in Kürze ablaufen zu finden und Benachrichtigungs-E-Mails zu genieren.
Das folgende PowerShell-Skript listet alle Benutzer auf, deren Kennwörter basierend auf dem in der ersten Zeile festgelegten Schwellenwert voraussichtlich ablaufen, sowie die genaue Zeit in UTC, zu der ihr Kennwort abläuft. Die Ergebnisse werden dann verwendet, um E-Mail-Nachrichten an Benutzer zu generieren, deren Passwörter bald ablaufen.
$daysbeforeexpirytonotify = 14
$now = (get-date).ToUniversalTime().ToFileTime()
$threshold = (get-date).ToUniversalTime().adddays($daysbeforeexpirytonotify).ToFileTime()
$users = Get-ADUser -filter { Enabled -eq $True -and PasswordNeverExpires -eq $False } `
–Properties "msDS-UserPasswordExpiryTimeComputed",mail `
-searchbase "OU=Users,OU=Specops,DC=specopsdemo1,DC=com" |
where { $_."msDS-UserPasswordExpiryTimeComputed" -lt $threshold -and `
$_."msDS-UserPasswordExpiryTimeComputed" -gt $now } |
Select-Object "Name",
"Mail",
@{Name="ExpiryDate";Expression={
[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")
}
},
@{Name="DaysToExpiry";Expression={
[int](($_."msDS-UserPasswordExpiryTimeComputed" - $now) / 864000000000)
}
} |
sort-object name
$users
foreach ($user in $users) {
send-mailmessage -from "it@specopsdemo1.com" `
-smtpserver mail.specopsdemo1.com `
-to $user.mail `
-subject "Your password will expire in $($user.daystoexpiry) days" `
-body "Your password will expire at $($user.expirydate) (UTC)."
}Administratoren könnten jetzt möglicherweise denken, dass die Erstellung einer benutzerdefinierten Lösung zur Benachrichtigung der Benutzer über den Ablauf des Passworts schwierig zu warten und zu unterstützen sein könnte. In diesem Fall möchten sie vielleicht eine Lösung von Drittanbietern wie Specops Password Notification und Specops Password Policy implementieren. Mit der Software Specops Password Notification, die so aufgebaut ist, dass sie den gesamten Prozess in einer einfachen grafischen Oberfläche handhabt. Sie können auch Bildschirmbenachrichtigungen aktivieren, um Benutzer zu motivieren, ihre Passwörter vor dem Ablaufdatum zu ändern oder zurückzusetzen. Mit dieser Lösung ist es wirklich so einfach wie die Angabe der Alarmschwelle und die Eingabe Ihrer SMTP-Servereinstellungen.
Sie können sogar automatisch eine Liste Ihrer Passwortrichtlinien in die E-Mail einfügen, sowie jegliche zusätzliche Nachrichten, die Sie einfügen möchten.
