用户帐户控制和属性

Question

我运行了两种不同的方式来检查用户是否可以更改密码。首先，我使用CMDLET进行查询，并且我得到了其中12个无法更改密码。然后我使用了matching rule bit and的LDAP搜索，它什么也没有返回。这是什么原因？

1. Get-ADUser -Filter * -Properties CannotChangePassword| where {$_.CannotChangePassword} | sort-object {$_.samAccountName} | Select samAccountName 

总用户不能改变密码是：12

2. 

$domain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain()  
$ADSearch = New-Object System.DirectoryServices.DirectorySearcher  
$ADSearch.SearchRoot ="LDAP://$domain" 
$ADSearch.SearchScope = "subtree" 
$ADSearch.PageSize = 100 
$ADSearch.Filter = "(&(objectCategory=person)(objectClass=user))"  
$properies =@(
"sAMAccountName", 
"userAccountControl" 
) 
foreach($pro in $properies) 
{ 
    $ADSearch.PropertiesToLoad.add($pro)| out-null 
    #the name of property of the object, search will load the name in an array #properties 
} 

$userObjects = $ADSearch.FindAll() 
forEach ($user In $userObjects) 
{  
    $accountDis= $user.Properties.Item("userAccountControl")[0] 
    $global:sam = $user.Properties.Item("sAMAccountName")[0] 
    if($accountDis -band 64){ 
     $passChange ="Not allowed" 
     """$accountDis","$passChange" 
    }  
} 

总用户不能改变密码是：0

Answer 1

对于AD帐户，“用户不能改变密码”由下式确定用户帐户上的访问控制条目，而不是userAccountControl属性中的ADS_UF_PASSWD_CANT_CHANGE（0x40）位。 （有关更多信息，请参阅https://msdn.microsoft.com/en-us/library/aa746448.aspx。）PowerShell cmdlet足够聪明，可为您完成繁重的工作。