- 获取密码策略:
Get-ADDefaultDomainPasswordPolicy 具体内容的解释,参见:https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/account-lockout-duration
- 查询“密码永不过期”的用户:
Get-ADUser -Filter ‘PasswordNeverExpires -eq $true’ -Server DCHostname | select name 通常情况下,我们使用这样的方式获取所有的名称: get-aduser -filter ‘passwordNeverExpires -eq $true’ | select name
可以通过OU=xxx DC=xxx 来限定OU,注意,要用逗号分隔的方式把整个DC都用.进行拆分 Get-ADUser -searchbase ‘ OU=Dongguan,DC=szmaxcent,DC=COM,DC=CN ‘ -Filter ‘PasswordNeverExpires -eq $true’ -Server DC001 | select name
- 查询有哪些用户当前已经被锁定了:
Get-ADUser -filter * -properties * | where {$_.lockedout} |ft name, lockedout
- 解锁相应的账号:
Unlock-ADAccount -Identity jli5
- 查询某个账号是否被锁定:
Get-ADUser -filter * -properties * | where {$_.lockedout} |ft name, lockedout
- 查询空组:
Get-ADGroup -filter * -properties members | where { -not $_.members} | select name
https://blog.51cto.com/hubuxcg/1620341
- 显示最近6周没有登陆的用户:
dsquery.exe user -inactive 6
- 禁用最近6周没有登陆的用户:
dsquery.exe user -inactive 6 | dsmod user -disable yes
- 删除已经被禁用的用户:
dsquery user -disable | dsrm
- 列出已经被禁用的用户:
dsquery user -disable
- 显示所有域中所有用户的登陆时间。注意:输出的时间需要转换
Get-ADUser-Filter*-Properties* |select name ,lastlogon,lastLogonTimestamp
- 列出指定用户的全部属性:
Get-ADUser -filter ‘name -eq “b_incdata_rw” ‘ -properties * 其中,“b_incdata_rw”是用户名。
其中: accountExpires 为0或“ 0x7FFFFFFFFFFFFFFF (9223372036854775807) ”表示永不过期。