PowerShell-scripts til at underrette Active Directory-domænebrugere om udløb af adgangskoder
ADSelfService Plus »

PowerShell-scripts til at underrette Active Directory-domænebrugere om udløb af adgangskoder

Mange organisationer har politikker, der tvinger brugerne til at ændre deres adgangskoder med jævne mellemrum. Hvis adgangskoden ikke ændres inden udløbsdatoen, bliver brugerne tvunget til at angive en ny adgangskode, når de logger ind første gang, efter at den er udløbet.

Det er kun en mindre ulempe for de brugere, der er på virksomhedens netværk, men fjernbrugere bliver låst ude. Det skyldes, at følsomme opgaver såsom nulstillinger af adgangskoder kun må foretages inden for virksomhedens netværk, der er host for Active Directory (AD). Det hjælper ikke at kontakte IT-afdelingen for at nulstille adgangskoden, eftersom enheden skal være fysisk placeret på virksomhedens intranet, for at den kan genkendes.

Administratorer kan bruge PowerShell-scripts til at hente udløbsdatoer for AD-brugeres adgangskoder og sende en e-mail til brugerne om at ændre deres adgangskoder et par dage før udløb. Eftersom de indbyggede grafiske grænsefladeværktøjer i Active Directory ikke indeholder denne funktion, skal der bruges PowerShell-scripts til at sende e-mails om udløbsdatoer for adgangskoder.

ManageEngine ADSelfService Plus, som er en løsning til identitetssikkerhed, understøtter også udsendelse af meddelelser til AD-brugere om udløb af adgangskoder.

PowerShell-scriptet til meddelelse om udløb af adgangskoder, som du kan finde her, sender påmindelser om udløb af adgangskoder til Active Directory-brugere via e-mail.

Nedenfor kan du se en sammenligning mellem at bruge PowerShell-scripts til at sende e-mails om udløb af adgangskoder og at bruge ADSelfService Plus.

PowerShell

Brug følgende PowerShell-script til at tjekke udløbsdatoer for brugeradgangskoder og sende en e-mail med meddelelse om udløb syv dage i forvejen: 
#Import AD Module
 Import-Module ActiveDirectory
 
#Create warning dates for future password expiration
$SevenDayWarnDate = (get-date).adddays(7).ToLongDateString()

#Email Variables
$MailSender = " Password AutoBot <emailaddress@somecompany.com>"
$Subject = 'FYI - Your account password will expire soon'
$EmailStub1 = 'I am a bot and performed this action automatically. I am here to inform you that the password for'
$EmailStub2 = 'will expire in'
$EmailStub3 = 'days on'
$EmailStub4 = '. Please contact the help desk if you need assistance changing your password. DO NOT REPLY TO THIS EMAIL.'
$SMTPServer = 'smtp.somecompany.com'
 
#Find accounts that are enabled and have expiring passwords
$users = Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False -and PasswordLastSet -gt 0 } `
 -Properties "Name", "EmailAddress", "msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property "Name", "EmailAddress", `
 @{Name = "PasswordExpiry"; Expression = {[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed").tolongdatestring() }}
 
#check password expiration date and send email on match
foreach ($user in $users) {
     if ($user.PasswordExpiry -eq $SevenDayWarnDate) {
         $days = 7
         $EmailBody = $EmailStub1, $user.name, $EmailStub2, $days, $EmailStub3, $SevenDayWarnDate, $EmailStub4 -join ' '
 
         Send-MailMessage -To $user.EmailAddress -From $MailSender -SmtpServer $SMTPServer -Subject $Subject -Body $EmailBody
     }
    else {}
 }
 Copied
Klik for at kopiere hele scriptet
PowerShell script for password expiry email notification

ADSelfService Plus

  • Åbn ADSelfService Plus-administrationsportalen.
  • Gå til Konfiguration > Meddelelse om udløb af adgangskode. I afsnittet Meddelelse om udløb af adgangskode/konto, der åbnes, skal du klikke på Tilføj ny meddelelse.
  • Brug indstillingen Vælg domæne til at angive det domæne, hvis brugere skal modtage meddelelserne. Angiv et navn på planlæggeren.
  • Angiv meddelelsestypen til Meddelelse om udløb af adgangskode. Brug indstillingen Send meddelelse via til at angive mediet for meddelelsen (e-mail, sms eller push-meddelelse).
  • Vælg frekvensen for meddelelser (dagligt, ugentligt eller på bestemte dage), og brug indstillingen Planlæg tidspunkt til at angive dato og tidspunkt for afsendelse af meddelelsen. Hvis du f.eks. ønsker at give brugerne besked syv dage før adgangskoden udløber, skal du vælge På bestemte dage og klikke på Planlæg tid og angive '7' i det angivne felt.
  • Rediger emnet og meddelelsens indhold, hvis det er nødvendigt.
  • Klik på indstillingen Avanceret, og i det pop op-vindue, der åbnes, skal du bruge indstillingerne til at udelade handicappede brugere eller smart card-brugere fra at modtage meddelelser om udløb og sende meddelelser om leveringsstatus til brugernes ledere eller andre personer med en administratorkonto, hvis det er nødvendigt.
  • Klik på Gem.
Steps to configure password expiry email notification using ADSelfService Plus
Configuring advanced settings for password expiry email notification using ADSelfService Plus
Fordele ved at konfigurere meddelelser om udløb af adgangskoder med ADSelfService Plus:
  • Hurtig konfiguration:

    Med ADSelfService Plus kan du med få klik konfigurere påmindelser om udløb af adgangskoder for domænebrugere. PowerShell-scripts kræver oprettelse, fejlfinding og kørsel.

  • Giv brugerne besked via e-mail, sms og push-meddelelse:

    Med ADSelfService Plus kan du med et enkelt klik vælge mellem at sende mail, sms og push-meddelelser. I eksemplet ovenfor bruges PowerShell til at sende meddelelser via e-mail, når adgangskoden udløber. PowerShell kan også bruges til at sende sms og push-meddelelser, men det kræver, at man opretter et særdeles kompliceret script.

  • Giv besked til brugernes ledere:

    I ADSelfService Plus kan man vælge at udelade handicappede brugere og smart card-brugere fra at modtage meddelelser. Der kan også sendes e-mails med status for levering af meddelelser til brugernes ledere og organisationens administratorer.

  • Konfiguration baseret på den grafiske brugerflade:

    Når en meddelelse om udløb af adgangskode er konfigureret i ADSelfService Plus, kan den redigeres ved blot at vælge den meddelelse, der skal redigeres, og ændre indstillingerne efter behov. Ved at bruge PowerShell er det uundgåeligt, at der opstår tastefejl og andre menneskelige fejl, når der foretages ændringer i meddelelsesscriptet.

  • Meddelelser via e-mail, der kan tilpasses og er effektive:

    Lav udkast til meddelelser via e-mail i HTML for at fange brugernes opmærksomhed, eller send forskellige meddelelser på forskellige dage op til udløb af adgangskoden. Med PowerShell kan man sende HTML-formaterede e-mails, men processen kan være ret langvarig.

Planlagte meddelelser til AD-brugere om kontoens udløb

 Prøv ADSelfService Plus helt gratis!
  • Gå til din script-fri script-fri AD Self-Service Password Management med ADSelfService Plus.
  • Download nu 

Relaterede ressourcer

RELATEREDE PRODUKTER