Reset pwdLastSet to deploy new Password Policy for all Users

Reset pwdLastSet to deploy new Password Policy for all Users

Skripte

Neue Kennwortrichtlinie ausrollen

Es gibt seitens der Security Abteilung die Aufgabe, das die aktuelle Kennwortrichtlinie mit einem maximalen Kennwortalter von 90 Tagen auf 60 Tage angepasst bzw. reduziert wird.

Die Richtlinie soll für alle Benutzer gleichermaßen gelten und das ab sofort. Die Anpassung innerhalb der Gruppenrichtlinie ist nur die eine Einstellung.

Default Domain Policy Password Policy

Damit aber kein Benutzer, dessen Kennwort bereits über 60 Tage alt ist dazu aufgefordert wird es zu ändern, oder sonstige Anmeldeprobleme bekommt, setzen wir die Kennwörter, also das Attribut pwdLastSet auf das heutige Datum zurück.

Default Domain Policy Password Policy

Reset pwdLastSet to deploy new Password Policy for all Users in a OU

$users = Get-ADUser -Filter * -SearchBase “OU=TEST,OU=User,OU=DWP,DC=dwp,DC=local”
Foreach ($username in $users){
$user = Get-ADUser -identity $username -properties pwdlastset
[datetime]::FromFileTime($user.pwdlastset)
$user.pwdlastset =0
set-aduser -Instance $user
$user.pwdlastset = -1
set-aduser -Instance $user
$user = Get-ADUser -identity $username -properties pwdlastset
[datetime]::FromFileTime($user.pwdlastset)
}

Hier sehen wir, das die letzte Änderung am 02.12.2020 statt gefunden hat.

pwdLastSet old value

Nachdem das Skript ausgeführt wurde, steht das heutige Datum als letztes Änderungsdatum.

pwdLastSet new value

Ab jetzt gilt die neue Richtlinie für alle Benutzer gleich.

https://www.der-windows-papst.de/2020/11/05/active-directory-compare/