Force Password Change Iedereen tegelijk in AD

Kun je niet iets maken met DSQUERY om een lijst met AD users te exporteren, om vervolgens met 'DSMOD user <dn> -mustchpwd' de flag van password change om te gooien?
Als dat niet werkt, misschien de '-acctexpires -1' switch om in te stellen dat het wachtwoord -1 dag verlopen is.

Let er wel op dat je geen functioneel accounts gaat aanpassen, en dat je ook let op users die niet op het domein aanloggen en bijv. via webaccess de mail ophalen.

Alle betreffende useraccounts selecteren in ADUC, properties opvragen, tabblad account en een datum in het verleden instellen bij de "account expiration date"

[ Voor 6% gewijzigd door Question Mark op 22-06-2006 12:35 ]

Account expiration date op het verleden zetten disabled volgens mij gewoon de account en laat niet het password verlopen zoals je wilt?

Heb je al geprobeerd om inderdaad iedereen in de ADUC te laten listen (bv. Find kiezen, "Find now" en dan heb je alle users), en dan "Must change password at next logon" aan te zetten?

Als je zelf de laatste reactie hebt geplaatst, bewerk dan gewoon je laatste bericht ipv een nieuwe reactie te plaatsen

Inderdaad - ADUC = Active Directory Users and Computers, als je daar meerdere users selecteert (in Windows 2003, niet in 2000 geloof ik) kan je de properties opvragen en de account password op "Must change at next logon" zetten

Je moet alleen de user objecten selecteren en geen enkele andere type objecten.
Dus je moet niet de OUs selecteren, maar per OU apart de user objecten selecteren.

Op deze manier krijg je wel de mogelijkheid om voor alle useraccounts deze optie in te stellen.

elevator schreef op donderdag 22 juni 2006 @ 15:45:
Account expiration date op het verleden zetten disabled volgens mij gewoon de account en laat niet het password verlopen zoals je wilt?

question mark moet eens ophouden om twee verschillende dingen tegelijk te doen

Verwijderd schreef op vrijdag 23 juni 2006 @ 08:19:
Ditmaal heb ik een willekeurige OU aangeklikt en daar in alle users Geselecteerd, ook deze manier heeft geen effect. Ik kan op propperties klikken wat ik wil ik krijg geen optie om massaal het wachtwoord te laten veranderen.

Dat kan ik hier wel.. Meerdere accounts selecteren, properties, tabblad accounts en onder "account options" de optie "user must change password selecteren". Zie screenshot...

[ Voor 3% gewijzigd door Question Mark op 23-06-2006 08:53 ]

Ik kan in je screenshot zien dat je ook een security group meeselecteerd. Je moet alleen userobjecten selecteren, dan werkt het wel....

overigens kan "next logon" nog jaren duren

Verwijderd schreef op vrijdag 23 juni 2006 @ 14:38:
overigens kan "next logon" nog jaren duren

Is dat wel zo? Op een gegeven moment is (bij Kerberos authenticatie) je Ticket Granting Ticket expired en zal deze opnieuw aangevraagd worden. Op dat moment wordt volgens mij ook je account geevalueerd. Ik weet dit echter niet zeker....

Verwijderd schreef op vrijdag 23 juni 2006 @ 17:09:
[...]
volgens mij werkt die trigger echt alleen als je aanlogt, simpelweg een check in de aanlog procedure imho. Als je ingelogd bent, zal je geen popup oid krijgen dat je je pw moet wijzigen.

Nog even gezocht op technet: er is een policy setting die dit gedrag bepaald.

Enforce user logon restrictions forces the domain controller to check the user’s account each time a TGT is presented and account expiration will cause the domain controller to refuse an otherwise valid TGT.

Met een expired account en deze policy setting actief, kan dus geen sessionticket verkregen worden omdat je TGT niet geaccepteerd wordt. De vraag is echter of je dan ook een popup krijgt, ik vermoed idd van niet. In de eventlog verschijnt wel de volgende error

0x17 - KDC_ERR_KEY_EXPIRED: Password has expired

bron: Troubleshooting Kerberos Errors

[ Voor 17% gewijzigd door Question Mark op 23-06-2006 20:18 ]