Get-ADUser - 搜索过期帐户在命令中使用变量

Get-ADUser cmdlet 公开 PasswordExpired 扩展属性，它是一个布尔值，指示密码是否已过期。它基于 msDS-User-Account-Control-Computed 属性。但是，您无法使用此属性进行过滤。

这意味着您可以检查该属性的 UF_PASSWORD_EXPIRED 位：

Get-ADUser -Filter "Enabled -eq 'True'" -Properties 'msDS-User-Account-Control-Computed' | 
    Where-Object {($_.'msDS-User-Account-Control-Computed' -band  0x800000) -eq 0x800000} |    # UF_PASSWORD_EXPIRED --> 0x800000 = 8388608
    Select-Object Name,Enabled | Export-Csv "C:\report.csv" -NoTypeInformation

您可以通过扩展过滤器以排除 PasswordNeverExpires 和 PasswordNotRequired 都为 $false 的用户来加快上述速度：

$filter = "Enabled -eq 'True' -and PasswordNeverExpires -eq 'False' -and PasswordNotRequired -eq 'False'"
Get-ADUser -Filter $filter -Properties PasswordNeverExpires,PasswordNotRequired,'msDS-User-Account-Control-Computed' | 
    Where-Object {($_.'msDS-User-Account-Control-Computed' -band 0x800000) -eq 0x800000} |    # UF_PASSWORD_EXPIRED --> 0x800000 = 8388608
    Select-Object Name,Enabled | Export-Csv "C:\report.csv" -NoTypeInformation

我想我已经在 Stack Exchange 上找到了解决方案。

见https://serverfault.com/questions/723217/find-out-if-password-expired-or-when-it-expires-for-user-in-a-specific-ou

早期测试表明它有效。