Bonjour, je sollicite à nouveau l'aide de la communauté du forum, puisque je souhaiterais faire en sorte de réinitialiser le mot de passe de plusieurs utilisateurs de mon AD en même temps et les obliger à changer de mot de passe lors de l'ouverture de leur session.
Ils se trouvent dans différentes OU mais tous dans un même DC.
(Je souhaites faire cela pour la mise en place d'une nouvelle GPO de mot de passe.)
 
Pour le moment j'ai trouvé ceci :  
 
Get-ADUser -Filter * -SearchScope Subtree -SearchBase "OU=Department,OU=Users,DC=corp,DC=acme-widgets,DC=local" | Set-ADAccountPassword -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "New Password Here" -Force)
 
Une commande powershell qui fonctionne bien pour modifier le mot de passe de plusieurs utilisateurs d'un OU et des sous OU, mais je voudrais y ajouter la demande de changement de mot de passe lors de l'ouverture de session de l'utilisateur.
 
Voilà, concrètement je cherche le moyen d'ajouter un argument permettant la modification du mot de passe par l'utilisateur lors de l'ouverture de sa session.
J'ai bien testé quelques petites manip avec l'ajout de certains argument mais rien de fonctionnel. (Du moins lors de mes manoeuvres.)
 
Si il y'a quelques connaisseurs de powershell, je suis preneur.  
Je vous remercie d'avance.

Il faut que tu fasses expirer le mot de passe.

Salut nebulios, justement c'est ce que je veux éviter, parce que ma GPO d'expiration sera de 365 jours (Je sais que c'est beaucoup mais bon c'est pas ma décision), hors même si je met celle-ci à 1 jour pour que des utilisateurs changent leur mot de passe, avant de repasser à 365, tous les utilisateurs ne seront pas disponible à ce moment précis, la seule possibilité serait de mettre une expiration de mot de passe entre 3 et 7 jours mini. puis patienter pour que la plupart des utilisateurs changent  et ensuite remettre 365 mais bon je préfère vraiment éviter ça, c'est assez problématique pour plein de petite chose lié à l'organisation.
 
C'est pour ça que je souhaite mettre un mot de passe par défaut à chaque utilisateurs (Parce qu'en plus je dois modifier certaines options de compte de certains utilisateurs lié aux mots de passe.)
 
Enfin bref, je voudrais passer par des commandes Powershell.

Une GPO d'expiration de 365 jours c'est une très mauvaise pratique.
 
Ensuite je te conseille d'ajouter une expiration du mot de passe sur ton script.

get-aduser .... | Set-ADUser -ChangePasswordAtLogon:$true
 
ça va pas ? (et pourquoi vouloir les reset)

Salut, je suis entièrement d'accord avec toi nebulios, je trouve aussi que c'est dangereux mais je ne prends pas les décisions, je les exécutent.(Je suis dans une collectivité locale donc les bonnes pratiques ici, y'en a pas beaucoup.) Effectivement Je@nb cela fonctionne mais impossible de faire cela dans la même commande, je dois en exécuter une seconde distincte de la première ou en tout cas je n'ai pas réussi à réaliser Set-ADAccountPassword -Reset -NewPassword  et ChangePasswordAtLogon:$true dans la même et unique commande, bon c'est pas très grave et si je veux réinitialiser tout le monde, c'est pour que mon changement de politique de mot de passe, prenne effet avant d'avoir à attendre le fameux 1 an d'expiration des mots de passe.

vu que c'est 2 commandes différentes non c'est un peu normal que tu puisses pas le faire dans la même commande ...
 
Et si tu mets changepasswordatlogin à true l'utilisateur doit changer son mdp au prochain logon donc sans avoir à attendre les 1 an ... donc je vois toujours pas l'intéret de lui reseter son mot de passe vu que de toute façon il devra le faire au prochain logon.