环境 AD 域服务器 Windows 2012 R2,Exchange
首先定制脚本,本脚本是参考网上一些资料然后进行改良的,3000用户的域执行约1分钟。
参考文章 http://lixiaosong.blog.51cto.com/705126/1409113/
这篇文章中的脚本如果直接放域里执行肯定会有问题,还有就是它的效率很低。
因为它在循环语句中多次执行 Get-ADUser,每执行一次必消耗额定时间。
如果企业中有3000用户,运行一次要执行12000次Get-ADUser。
我这边测试,在不执行发送邮件命令下,等待执行约半个多小时,并且还有大量报错
错误大致分为部分用户 pwdlastset 为空等两类错误
改版:
排除没必要通知的用户
直接读取用户的密码过期时间
Get-ADUser 全脚本仅执行一次并筛选好
循环中仅作判断及发送邮件
Import-Module Activedirectory
#指定域中指定OU下的用户
#排除已禁用、密码永不过期、显示名为空、无邮箱、帐户不能修改密码的帐户
#排除已经过期的用户(因为已经不能登录了,发邮件通知毫无意义)
$allUsers = Get-ADUser -SearchBase "OU=AllUsers,DC=zzy,DC=my" -Filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties DisplayName,PasswordExpired,mail,CannotChangePassword,"msDS-UserPasswordExpiryTimeComputed" | Where-Object {$_.DisplayName -ne $null -and $_.PasswordExpired -eq $False -and $_.CannotChangePassword -eq $False -and $_.mail -ne $null}
$passExpiresUsersList = @()
$nowTime = Get-Date
foreach ($user in $allUsers){
$ExpiryDate = [datetime]::FromFileTime($user."msDS-UserPasswordExpiryTimeComputed")
$expire_days = ($ExpiryDate - $nowTime).Days
#密码在3天内即将过期的帐户(小于4即3天)
if($expire_days -lt 4 -and $expire_days -gt -1 ){
$displayname= $user.Displayname
#定制邮件内容
$email=
"Deer $displayname :
你的密码即将在 $expire_days 天后过期,请尽快更改。"
#发送邮件
Send-MailMessage -From "no-reply@zzy.my" -To $user.mail -Subject "你的密码即将过期" -Body $email -SmtpServer exchange01.zzy.my -Encoding ([System.Text.Encoding]::UTF8)
#记录该账户信息
$userobject=New-object psobject
$userobject | Add-Member -membertype noteproperty -Name 用户名 -value $user.SamAccountName
$userobject | Add-Member -membertype noteproperty -Name 邮箱 -Value $user.mail
$userobject | Add-Member -membertype noteproperty -Name 密码过期时间 -Value $ExpiryDate
$userobject | Add-Member -membertype noteproperty -Name 剩余密码过期天数 -Value $expire_days
$passExpiresUsersList+=$userobject
}
}
#发送给指定管理帐户
$EmailbodyHTML = $passExpiresUsersList | sort-object 剩余密码过期天数 | ConvertTo-Html | Out-String
Send-Mailmessage -From "no-reply@zzy.my" –To “zzy@zzy.my” -BodyAsHtml $EmailbodyHTML -Subject "管理员通知" -SmtpServer exchange01.zzy.my -Encoding ([System.Text.Encoding]::UTF8)
将脚本拷贝到AD上(一般只要是域内的机器都可以)
默认服务器的脚本执行策略都是允许的,如果不允许可执行可 Set-ExecutionPolicy RemoteSigned
然后通过计划任务定期执行,但可能需要修改执行策略
开始 - 运行 - gpedit.msc - 电脑配置 - Windows设置 - 安全设置 - 本地策略 - 安装选项
找到 网络访问: 不允许存储网络身份验证的密码和凭据 设置为 已禁用.
然后在用户权限分配中找到 作为批处理作业登录 添加相应帐户
.
完成后开始创建计划任务
创建基本任务 选择每天执行 操作选择 启动程序
程序或脚本填写: %SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe
添加参数填写: C:\PassNotice\PasswordExpired.ps1 (脚本的路径)
点击 "完成" 时打开属性对话框
在 "常规" 标签页中勾选 不管用户是否登录都要运行
完成.