Vous souhaitez augmenter le niveau de sécurité de votre environnement Active Directory, mais historiquement l’option : L’utilisateur ne peut changer de mot de passe était activée.
Le script ci-dessous permet de modifier cette option en masse sur tout votre annuaire ou seulement un OU.
# Get user whith CannotChangePassword true / Edit SearchBase
$users = Get-ADUser -Filter * -Properties CannotChangePassword -SearchBase "OU=OUNAME,DC=domain,DC=lan" | where { $_.CannotChangePassword -eq "true" }
# Browse Users and change to false CannotChangePassword
foreach( $user in $users){
Set-ADUser $user -CannotChangePassword $False
}