Powershell – Notification d’expiration de mot de passe par email

Mise en place d’une alerte par email lorsque le mot de passe d’un compte utilisateur va expiré.

Sur une infrastructure Active Directory en mode bastion, ce domaine AD est ponctuellement utilisé par des administrateurs car dédié à des comptes des services applicatifs.

Une alerte par email a été mise en place afin de prévenir les utilisateurs de l’expiration de leur mot de passe.

La configuration est basé sur un script Powershell qui parcourt Active Directory, liste les comptes et l’expiration de celui-ci. si le mot de passe arrive à expiration un email est envoyé à la personne. Ce script est stocké dans Active Directory « Sysvol » et est exécuté via une tâche planifiée déployée par GPO sur le PDC.

Sommaire

Contenu du script

Vous trouverez-ci-dessous le script permettant l’envoie des emails. Je vous laisse en prendre connaissance et l’adapté à vos besoins.

De plus, il est vivement recommandé /indispensable de signer ce script avant de le déployer. Vu que celui-ci s’exécute sur les contrôleurs de domaine. De plus la tâche planifiée doit être exécuté avec un compte de service et éviter d’utiliser le compte system.

################# Send email when the password account will expire #################


### Init /Set var ###
$ResultUserInfos=@()

# Set threshold in days
$ThresholdTrigger=60

# SMTP conf
$SMTPServer= »smtp.teddycorp.lab »
$eMailSender= »system@teddycorp.lab »
$eMailSubjectWarning= »Expiration Password »

#eMail Template
$MailTemplateWarning=@ »
Bonjour %GivenName%,

Le mot de passe du compte : %Account%
Expire dans moins de %ThresholdTrigger% jours, date d’expiration : %dateExpiration%

Pensez a le changer.

Cordialement
« @


### Module and third-party import ###
Import-Module ActiveDirectory


### MAIN ###
#Collect infos utilisateurs (user enable) :
$LstUsers=Get-ADUser -SearchBase ‘OU=TEDDYCORP,DC=teddycorp,DC=lab’ -Filter ‘enabled -eq « true »‘ -SearchScope Subtree -Properties mail, pwdLastSet | Select-Object *


#Format data and select user with emaim address and expiration time <
foreach($User in $LstUsers){

#If PSO or GPO
If($(Get-ADuser $User.SamAccountName -Properties « msDS-ResultantPSO »). »msDS-ResultantPSO » -eq $null){
$DateExpiration=$([datetime]::FromFileTime($User.’msDS-UserPasswordExpiryTimeComputed’))
}else{
$DateLastPwdSet=$([datetime]::FromFileTime($User.’pwdLastSet’))
$PSOPwdDuration=[int]$(Get-ADUserResultantPasswordPolicy -Identity $User.SamAccountName).MaxPasswordAge.days
$DateExpiration=$DateLastPwdSet.AddDays($PSOPwdDuration)
}


#Calcul limit date
$DateWithExpirationDuration=(Get-Date).AddDays($ThresholdTrigger)


if(![string]::IsNullOrEmpty($User.mail)){
if($DateExpiration -lt $DateWithExpirationDuration){
$ObjectUser = New-Object System.Object
$ObjectUser | Add-Member -Type NoteProperty -Name ExpirationDate -Value $DateExpiration
$ObjectUser | Add-Member -Type NoteProperty -Name GivenName -Value $User.GivenName
$ObjectUser | Add-Member -Type NoteProperty -Name Surname -Value $User.Surname
$ObjectUser | Add-Member -Type NoteProperty -Name eMailAddress -Value $User.mail
$ObjectUser | Add-Member -Type NoteProperty -Name UPN -Value $User.UserPrincipalName


$ResultUserInfos+=$ObjectUser
}
}
}


#Write and send eMail :
foreach($UserInfos in $ResultUserInfos){
$EmailUser=$MailTemplateWarning
$EmailUser=$EmailUser.Replace(« %GivenName% »,$UserInfos.GivenName)
$EmailUser=$EmailUser.Replace(« %Account% »,$UserInfos.UPN)
$EmailUser=$EmailUser.Replace(« %ThresholdTrigger% »,$ThresholdTrigger)
$EmailUser=$EmailUser.Replace(« %dateExpiration% »,$UserInfos.ExpirationDate)

Send-MailMessage -From $eMailSender -To $UserInfos.eMailAddress -Subject $eMailSubjectWarning -Body $EmailUser -SmtpServer $SMTPServer
}
# SIG # Begin signature block
# xKPvG4A/PtpbPVEPcI+FmGXpgOFt0oJJYZHKWysZlUN/BAmBLlDL2uq8I7ilj6Kc
# KI3m61m5iMKTHGLCCPYjZhOyoga5kDC/3665PZd+X6sQLOV6qWJw1aLPvPJPPqky
# Rdk9BchzWHVFoy6drQ8kRPSvoVtR3jJ7fPqLc7LzAm==
# SIG # End signature block

Ce même script peut être déposé dans le SYSVOL du domaine afin d’être accessible par l’ensemble des contrôleurs de domaine.

\\domain.dom\SysVol\teddycorp.lab\scripts\MailAlertPwdExpir.ps1

Planification du script par GPO

Dans le pas ci-présent, le script est exécuté depuis le PDC. La tache planifiée est quant à elle configurée par GPO.

Création de la GPO

Pour distribuer le tâche planifiée par GPO uniquement sur le PDC, il est nécessaire de créer une nouvelle GPO, lier celle-ci sur l’OU « Domain Controllers » et appliquer un filtre WMI.

Tâche planifiée en GPP machine
Planification tous les jours.
La tâche exécute le script Powershell

Détail des arguments : -Noninteractive -ExecutionPolicy Bypass –Noprofile -file « \\teddycorp.lab\sysvol\teddycorp.lab\scripts\{ID}\MailAlertPwdExpired.ps1 »

La tâche sera surrpimée dès lors que le GPO n'est plus appiquée
Création du filtre WMI

Comme évoqué plus haut, la GPo sera appliquée sur filtre WMI afin de ne s’exécuter que sur le PDC. Créer un nouveau filtre WMI.

La tâche sera surrpimée dès lors que le GPO n'est plus appiquée

Détail de la requète WMI : Select * From Win32_ComputerSystem where DomainRole=5

Appliquer ce nouveau filtre WMI sur la GPO.

Résumé

En résumé, nous avons appliqué un script Powershell qui liste les comptes et envoie un email à l’adresse mail référencée dans ce compte lorsque que le mot de passe de celui-ci arrive à expiration.

Ce script est mis à disposition de l’ensemble des machines car déposé dans le SYSVOL.

L’exécution de ce script est planifié dans une tâche planifiée distributé par GPO.

La GPO quant à elle n’est appliqué que sur le contrôleur de domaine possédant le rôle FSMO PDC. Ce filtrage est réalisé par WMI.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *