1、 查詢AD中，默認(rèn)的密碼策略如果接手一個新的AD 環(huán)境，需要了解其密碼策略如果，或是你忘了你所在組織AD 的密碼策略，我們一會去組策略管理控制臺去查看，但有了PowerShell ，會變得很簡單，

1、 查詢AD

中，默認(rèn)的密碼策略

如果接手一個新的AD 環(huán)境，需要了解其密碼策略如果，或是你忘了你所在組織AD 的密碼策略，我們一會去組策略管理控制臺去查看，但有了PowerShell ，會變得很簡單，只需一個CMDLET: Get-ADDefaultDomainPasswordPolicy

密碼復(fù)雜性要注、鎖定策略、密碼長度、密碼有效時間等，可以全部顯示出來！

2、 查詢AD 中，那些用戶被選中了“密碼永不過期”的選頂

在域管理中，我們一般都會配置一些策略，設(shè)置用戶密碼30天或是90天過期，強(qiáng)制修改密碼，但有時，可能會在創(chuàng)建用戶時，不小心選中了“密碼永不過期”的選頂，這對信息安全來說，是不被允許的，或是說一個不安全的因素，如果通過AD 管理工具去檢查每個用戶，是一個很繁瑣的工具，但如果我們利用PowerShell ，就可以很方便的一次性查詢出AD 中所有勾選了“密碼記不過期”選頂?shù)挠脩簦?/p>

Get-ADUser -Filter 'PasswordNeverExpires -eq $true' -Server DCHostname | select name

將DChostname 修改為你域的其中一臺DC 的主機(jī)名

如果你的AD 組織足夠大，一次性會顯示所有AD 中的的用戶，如果只查詢某個指OU 下的，可以加入限定條件，如：

-searchbase ' OU=test,DC=Youdomain,DC=COM '

將OU=Test修改為你其中一個OU 的名字，將

DC=Youdomain,DC=COM

改為你的域名，如我的域名為szmaxcent.com.cn ，我要查東莞分公司用戶所在OU ：

Get-ADUser -searchbase ' OU=Dongguan,DC=szmaxcent,DC=COM,DC=CN ' -Filter 'PasswordNeverExpires -eq $true' -Server DC001 | select name

3、 查詢AD 中，已鎖定的用戶

如果某些用戶因?yàn)槊艽a問題導(dǎo)致賬號鎖定，我們也可以用PowerShell 來查看當(dāng)前域中，有那些賬號是鎖定狀態(tài)：

get-aduser -filter * -properties * | where {$_.lockedout} | ft name,lockedout

當(dāng)然，上面命令也可以參考上面加上限定條件，來指定OU!

如果需要查詢某個賬號是否鎖定：

get-aduser johnsonxiang -properties * | ft name,lockedout

如果紅色方框顯示為False ，為正常狀態(tài)，如果為Ture ，即已鎖定！

如果要對已經(jīng)鎖定的賬號解鎖，直接用:Unlock-ADAccount -Identity johnsonxiang,當(dāng)然前提是你要有對此鎖定解鎖的權(quán)限！

4、 查詢AD 中，成員為空AD 組（針對用戶）

AD 組織用久了，創(chuàng)建組越來越多，很多組已經(jīng)沒有任何成員了，也行不會再使用，我們可以將這些組找出來，如果確認(rèn)不用的話，再將其刪除！

用PowerShell ，可以很方便的，一次性將這些組全部列出來，命令如下：

Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name 同樣，你也可以參考上面的語句，在前面加上限定條件，來查詢指定OU