powershell - 如何在没有第二个帐户查询AD的情况下检测AD用户密码是否已过期？

Question

我创建了一个(PowerShell)向导，以指导用户完成(远程)将其计算机加入域的过程。
该脚本在(标准)本地管理员的登录名下运行，并查询AD，并使用有关用户的凭据加入计算机(添加计算机)。
用户对一个或多个特定的AD计算机帐户具有显式权限，以将该计算机加入域(他不是域管理员)。

一切正常，但对于新员工，密码设置为“用户必须在下次登录时更改密码”。
每当我使用过期的用户凭据在AD中查询某些内容时，总是会收到一个普遍错误:“用户名未知或密码错误”。

如何确定帐户本身的密码已过期(不使用任何其他帐户)，以便提示您更改密码？

这有可能吗？
(Windows OS在登录时如何执行此操作？)

此问题与How can I query users with an expired password in Active Directory?不同，因为在这种情况下，您有另一个帐户可用于查询AD。

Answer 1

找到了，但目前无法测试Get-ADUser $env:UserName -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet
编辑:正如您提到的，您不能查询AD，因为您是在不属于AD的本地管理员帐户下运行的，并且您没有AD帐户来查询所测试帐户的密码有效期。

这似乎是设计使然，对于新员工，您需要设计一种使密码在特定时间后过期而不是在首次登录时过期的方法。