强制所有 AD 用户帐户在下次登录时更改密码

如何强制域用户帐户在下次登录时更改密码？只需打开Active Directory 用户和计算机通过选择“开始”->“管理工具”->“Active Directory 用户和计算机”，在 MMC 管理单元 (DSA.MSC) 中找到所需的 AD 用户。右键单击该帐户并选择属性。要强制帐户更改密码，只需勾选“用户下次登录时必须更改密码”复选框。

现在您可能会问：有没有办法为单个 OU 中的所有用户执行此操作？在这篇文章中，我将展示如何使用简单的 Powershell 脚本强制所有 AD 用户帐户在下次登录时更改密码。

尖端：如果您忘记了 AD 管理员密码并被锁定在域控制器之外，您可以通过将服务器启动到 PCUnlocker Live CD 来重置密码。

如何强制所有 AD 用户帐户在下次登录时更改密码？

阅读更多：修复：“用户下次登录时必须更改密码”选项在 Windows 中显示为灰色

单击“开始”，然后导航到“所有程序”->“附件”->“Windows PowerShell”。右键单击 Windows PowerShell，然后选择以管理员身份运行从上下文菜单中。

使用 Get-ADUser 和 Set-ADUser 命令，您可以强制 OU 中的所有域用户帐户在下次登录时更改其密码。在本演示中，我使用 IT OU。我们的 Windows 域的完全限定域名是 corp.top-password.com。

以下命令将强制 IT 部门的所有用户在登录时更改密码。
Get-ADUser -Filter * -SearchBase“OU=IT，DC=corp，DC=顶级密码，DC=com”|设置 ADUser -ChangePasswordAtLogon:$true

但是，如果设置了“用户无法更改密码”属性，这可能会导致某些 AD 用户的计算机被锁定。为了避免此类问题，最好同时禁用“用户无法更改密码”和“密码永不过期”属性。

Get-ADUser -Filter * -SearchBase“OU=IT，DC=corp，DC=顶级密码，DC=com”|设置 ADUser -CannotChangePassword:$false -PasswordNeverExpires:$false -ChangePasswordAtLogon:$true

执行 PowerShell 命令后，所有用户将被迫在下次重新启动时更改自己的密码。如果您不允许 AD 用户设置空白密码，则可以按照我们之前的文章：如何在 Windows Server 2008 中更改 Active Directory 密码策略中描述的步骤，设置一个用于您自己目的的组策略。