AD setzt Benutzerkennwörter für eine Sicherheitsgruppe zurück

Ich bin mir nicht ganz sicher, ob dies möglich ist oder nicht, aber ich muss die Benutzer einer bestimmten Sicherheitsgruppe zwingen, ihre Kennwörter ablaufen zu lassen, damit sie beim nächsten Anmelden gezwungen werden, sie zu ändern. Der Grund dafür ist, dass ich eine FGPP (Kennwortrichtlinie) auf diese bestimmte Gruppe angewendet habe, um sichere Kennwörter zu erzwingen. Nun, viele Benutzer haben wirklich schwache Passwörter und werden nur geändert, wenn sie dazu gezwungen werden.

Gibt es eine Möglichkeit, dies zu tun, ohne alle zu einem einzigen Passwort zu zwingen?

Sie können dies in Powershell und Set-ADUser tun. Ändern Sie das Flag ChangepasswordatLogon in True.

Würde ungefähr so ​​aussehen:

Get-ADuser -Filter {memberof -RecursiveMatch "DN of Security Group"} | Set-ADuser -ChangePasswordatLogon:$true

Wenn Sie vbscript bevorzugen, obwohl Sie Powershell nicht verwenden sollten: Eine Suche nach "vbscript setzt AD-Passwort auf abgelaufen" ergab diesen Artikel: Wie kann ich das Ablaufen eines Benutzerpassworts veranlassen?

Ich habe es nicht persönlich getestet. Der Beispiel-VBScript-Code lautet:

Set objUser = GetObject("LDAP://CN=myerken,OU=Finance,DC=Fabrikam,DC=com")

objUser.pwdLastSet = 0
objUser.SetInfo

Sie können dies mit anderem Code kombinieren, um die Listenbenutzer aus der Sicherheitsgruppe abzurufen (verwenden Sie die Sicherheitsgruppe CN = in der LDAP-Abfrage) und sie durch Anwenden dieses Kennwortablaufs zu durchlaufen. Dies ist ein gutes Beispiel für die Suche nach "vbscript getobject security group": Holen Sie sich mit VbScript alle Benutzer in einer bestimmten AD-Gruppe

Hier ist eine Eingabeaufforderungsoption:

for /f "delims=" %a in ('dsquery group -name "<INSERT_GROUP_NAME_HERE>" ^| dsget group -members -expand') do (
   dsmod user %a -mustchpwd yes
)