主页 / server / 问题 / 819632
Accepted
GrzegorzOledzki
Asked: 2016-12-09 12:32:00 +0800 CST

Powershell 无法从 Active Directory 检索 pwdLastSet

  • 772

有人可以在尝试从 Active Directory 中为某些用户提取 pwdLastSet 的 Powershell 命令中发现错误吗?

对于某些帐户,它可以工作:

PS C:\> get-aduser -filter "name -like 'Admin*'" -Properties pwdLastSet | Select -first 1 name,pwdLastSet  | format-list

name       : Administrator
pwdLastSet : 131254235816382539

对于某些人来说,它没有:

PS C:\> get-aduser -filter "name -like 'G*Ol*'" -Properties pwdLastSet | Select -first 1 name,pwdLastSet  | format-list


name       : Grzegorz Olędzki
pwdLastSet :

需要注意的是,从 GUI 检索时似乎设置了该属性: 同一用户的属性对话框

这个问题一直影响多个帐户,所以我怀疑有些东西我根本不明白。

powershell active-directory

3 个回答

  1. Best Answer

    仔细检查并确保您以管理员身份运行 powershell。如果您的实例未提升,则可能会出现此问题,因为某些密码策略 (GPO) 可能已隐藏。

    • 4

  2. 如果 pwdLastSet 值为 null/空白,则意味着用户必须在下次登录时更改其密码。取消勾选用户属性中的框会显示一个日期

    • 0

  3. 这是一个可以用来测试的函数:

    function Get-PwdLastSet {
  param(
    [parameter(Mandatory=$true)] [String] $sAMAccountName
  )
  $searcher = [ADSISearcher] "(&(pwdLastSet=*)(sAMAccountName=$sAMAccountName))"
  $searcher.PropertiesToLoad.AddRange(@("pwdLastSet","sAMAccountName"))
  $searchResult = $searcher.FindOne()
  if ( $searchResult ) {
    $pwdLastSet = $searchResult.Properties["pwdlastset"][0]
    if ( $pwdLastSet -gt 0 ) {
      [DateTime]::FromFileTime($pwdLastSet)
    }
    else {
      "Password is expired"
    }
  }
}

    如果此脚本无法读取该pwdLastSet属性,我能想到的唯一解释是运行该脚本的用户缺乏从 Active Directory 读取该属性的权限。AFAIK,默认情况下,该属性应该对 的所有成员都是可读的Domain Users,因此可能是 Active Directory 对象权限已从默认值更改。

    • -1

相关问题