Expiration Date bei User Accounts einer OU setzen
Aus Sicherheitsgründen habe ich für einen Kunden ein System implementiert, in dem jährlich die Ablaufdaten der privilegierten Service Accounts auf den 31.12. des jeweiligen Jahres gesetzt wird, um sicherzustellen, dass nicht benötigte Service Accounts verwendet werden können. Service Accounts, die über den 31.12. des Jahres hinaus benötigt werden, müssen von den jeweiligen Fachabteilungen rechtzeitig an die IT gemeldet werden, um das Ablaufdatum wieder zu entfernen.
Da sich solche Accounts i.d.R. in einer eigenen, abgesicherten OU befinden, setzt folgendes Script das Ablaufdatum für alle Accounts in der OU Service-Accounts der Domain lab.local.
Import-Module ActiveDirectory Get-ADUser -ResultSetSize 10000 -SearchBase "OU=Service-Accounts,DC=lab,DC=local" -Filter * | Set-ADAccountExpiration -DateTime "12/31/2018"
Mit folgendem Befehl verifiziert man im Anschluss die Änderung:
Get-ADUser -SearchBase "OU=Service-Accounts,DC=lab,DC=local" -Filter * -Properties sAMAccountName,AccountExpirationDate