Vérifier les comptes dont l’attribut « pwdlastset » a une valeur nulle

Pourquoi effectuer ces actions

Cet indicateur sur un compte peut indiquer un compte obsolète ou un compte créé sans mot de passe.

Regardez un ingénieur client expliquer le problème

Contexte et meilleures pratiques

Les comptes d’utilisateur peuvent être marqués avec pwdlastset=0 sous trois conditions :

• Lorsqu’un compte a été créé mais qu’un mot de passe n’a pas été attribué.
• Lorsqu’un compte a été créé et que l’administrateur a attribué un mot de passe mais sélectionné l’option de changer de mot de passe à la prochaine ouverture de session.
• Lorsque l’administrateur a sélectionné l’option imposant à l’utilisateur de changer son mot de passe à la prochaine ouverture de session dans le cadre de la gestion du compte de cet utilisateur, par exemple après une réinitialisation de mot de passe.

Cette condition est détectée en interrogeant les comptes d’utilisateur et en trouvant les instances où la valeur de passwordLastSet est zéro.

Vous devez régulièrement rechercher et identifier les comptes dont l’attribut pwdlastset est 0. Vérifiez vos processus d’attribution de comptes d’utilisateurs et assurez-vous qu’il n’y ait pas d’écart significatif entre l’attribution d’un nouveau compte d’utilisateur et le fait que le compte se connecte au domaine et réinitialise son mot de passe, ainsi que la situation moins courante d’un compte créé sans mot de passe, puis activé ultérieurement.

Actions suggérées

Vous devez régulièrement rechercher et identifier les comptes pour lesquels pwdlastset=0. Le script suivant répertorie tous les comptes répondant à la condition de cette règle.

Get-ADObject -Filter 'objectcategory -eq "person" -and objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501"'

Vérifiez que ces comptes ne sont pas obsolètes et, si nécessaire, désactivez-les et supprimez-les.