Warnmeldung für Kontoablaufdatum

[Dustin781 11]

Hallo,

 

hat jemand eine Idee wie ich es zaubern kann, das wenn ein Benutzer Account kurz vor dem ablaufen ist, das er z.B. eine Woche vorher beim Anmelden eine Info bekommt das sein Konto im AD abläuft?

 

Für Tipps wäre ich dankbar,

 

gruß,

Dustin781

[Sunny61 773]

In den GPOs kann man das einstellen: Computerkonfig > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoption > Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern

[phoenixcp 10]

In den GPOs kann man das einstellen: Computerkonfig > Windows Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoption > Interaktive Anmeldung: Anwender vor Ablauf des Kennworts zum Ändern des Kennworts auffordern

 

Auf den Zug war ich gedanklich auch schon aufgesprungen aber mehrfaches lesen belehrte mich eines besseren:

eine Woche vorher beim Anmelden eine Info bekommt das sein Konto im AD abläuft

 

Es geht nicht um's Kennwortablaufdatum, sondern ums Kontoablaufdatum. Und da wird es tricky...

[Dustin781 11]

HI,

 

das ist schon mal nicht schlecht, aber das ist ja das Kennwort was abläuft.

Wir haben Konten die ablaufen.

 

Da kann der User ja überhaupt nichts gegen machen, außer den Helpdesk anrufen und zu sagen das er noch im unternehmen arbeitet.

 

Eine Meldung wie

"Ihr Konto läuft in 7 Tagen ab, bitte rufen Sie den Userhelpdesk an, wenn Sie dann noch hier arbeiten... "

 

danke

 

gruß,

Dustin781

[phoenixcp 10]

Mal ne ganz andere Frage: Wie kommt es denn das Konten ablaufen, wenn der User noch im Unternehmen ist? Irgendwie sind eure Prozesse da leicht "Grütze" oder?

[Sunny61 773]

Es geht nicht um's Kennwortablaufdatum, sondern ums Kontoablaufdatum. Und da wird es tricky...

 

Hmm, ok, ich bin ja schon ruhig. ;)

[Dustin781 11]

Moin,

 

das ist einfach so... :-) ..

 

Freie Mitarbeiter bekommen nur 1-2 Jahre, davon gibt es so 100 oder so, wenn da mal jemand von geht, dann hätte ich ja sein Lebenlang zugriff drauf, das wollen wir ja nicht. Daher werde alle freien MA's nach 1-2 Jahren gesperrt, dann können Sie anrufen, und sich freischaltet lassen, aber auch nicht für immer..

 

gruß,

Dustin781

[phoenixcp 10]

Sagen wir mal so:

Ich bin selber als Consultant tätig und "tingel" von Projekt zu Projekt, von Kunde zu Kunde. Solche Konstrukte kenn ich auch. Von der Seite her hab ich mir da noch nie Gedanken drüber gemacht, da ich eher selber User Provisioning Systeme einführe, die als System die Datenhoheit über das AD haben und auf diesem Wege auch die jeweils Verantwortlichen im Vorlauf des Kontenablaufes per Mail oder Web darüber informieren, damit diese die Konten verlängern können.

 

Das einzige was mir als Schnellschuss einfällt: Bau eine entsprechende Abfrage in das Loginscript ein und bring von dort die Meldung hoch.

 

Oder lass dich über die Anschaffung und Einführung einer IdM-Lösung beraten... :D Ich stell gerne Kontakt zu unserem Vertrieb her :D

[Dustin781 11]

hehe.. da will jemand verkaufen.. .danke ...

 

aber ich dachte eigentlich an ein kleines VBS Skript was vom Logon gestartet wird, oder sowas ähnliches... Kohle wollte ich jetzt nicht ausgeben...

[phoenixcp 10]

Ahja, sozusagen wolltest du also das Skript abgreifen falls es grade jemand parat hat? Oder hast du selber zumindest schon nen ausbaufähigen Anfang für ein solches Skript?

 

hehe.. da will jemand verkaufen.. .danke ...

Nicht zu ernst nehmen, aber grade heute vormittag habe ich einen ebensolchen Prozess mit unserer Software gebaut ;)

[Dustin781 11]

Hi..

 

ja, ich wollte nen copy/paste skript haben.. *g*...

 

bisher habe ich nur die Idee das ich per dsquery die Kontoablaufdaten auslese und ne leste erstelle und weiß wer morgen anruft und schreit.. was besseres ist mir noch nicht eingefallen.

[phoenixcp 10]

Schau mal hier: How to obtain password expiration date by using LDAP ADSI provider

 

Das sollte sich doch recht schnell auf das andere Feld adaptieren lassen... ;)

[thumb 10]

Hallo zusammen,

 

hier ein Schnipsel um das Kontoablaufdatum abzufragen:

Set strSysInfo = CreateObject("ADSystemInfo")

Set CrUser = GetObject("LDAP://" & strSysInfo.Username & "")

 

Set objNet = WScript.CreateObject("WScript.Network")

strName = objNet.UserName

 

strAcctExp = CrUser.AccountExpirationDate

 

MsgBox strAcctExp

 

Ist das Konto zeitlich nicht begrenzt, wird als Ablaufdatum der 1.1.1970 dargestellt (siehe Account Expiration), dies muss im Script "abgefangen" werden. Zum Spielen hier noch ein Script welches dies erledigt:

 

 

'Define the variables used

 

Option Explicit

 

Dim strUserName, strCrDate, objAcctExp, CrUser, WSHShell

Dim strCrDomain, strAcctExp, strSysInfo, inKey, inValue, chk

Dim UserINfo, strDateDiff, strWrngThresh, objNet, strName, regkeyLog, regStamp

 

'Set Reg Log Path

regkeyLog = "HKCU\Software\"

 

'################# Change warning threshold here! ######################

 

strWrngThresh = 15

 

'######################################################################

 

'Create Shell Object

Set WSHShell = CreateObject("WScript.Shell")

 

'Get currently logged on user information

 

Set strSysInfo = CreateObject("ADSystemInfo")

Set CrUser = GetObject("LDAP://" & strSysInfo.Username & "")

 

Set objNet = WScript.CreateObject("WScript.Network")

strName = objNet.UserName

 

 

'Assign the current date to the variable "strCrDate"

 

strCrDate = Date()

 

'Get current user's Account Expiration Date

 

strAcctExp = CrUser.AccountExpirationDate

regStamp = strAcctExp

 

If Err.Number = -2147467259 Or strAcctExp = "01.01.1970" Or strAcctExp = "01.01.1601 01:00:00" Then

 

'Show no message, when no account expiration date is specified!

'MsgBox "No account expiration date specified", vbExclamation, "User Account Information"

 

Else

'Show no message with expiration date!

'MsgBox "Hello" & " " & strName & "," & vbCrLf & vbCrLf & "Your user account will expire on " & strAcctExp & "!", vbExclamation, "User Account Information"

 

'Comparing the account expiration date and the current date

 

strDateDiff = datediff("d", strCrDate, strAcctExp)

 

'Calculations used to determine if the account will expire soon

 

If strDateDiff < strWrngThresh Then 'If difference between current date and expiration date is greater than <strgWrngTresh>

 

If Not ExistsRegVal(regkeyLog & regStamp) Then

 

Msgbox "ACHTUNG, ID Ablauf in " & strDateDiff & " Tagen!", vbExclamation, "User Account Information"

 

WriteReg RegkeyLog & regStamp, "Account Expiration Date"

 

End If

 

ElseIf strDateDiff > strWrngThresh Then

 

WScript.quit

 

End If

 

End If

 

'Subs

 

'Write Registry

Sub WriteReg (inKey, inValue)

On Error Resume Next

WShShell.RegWrite inKey, inValue

End Sub

 

 

'Read Registry

Function ExistsRegVal(inValue_)

On Error Resume Next

chk = WShShell.RegRead(inValue_)

ExistsRegVal = (Err.Number = 0)

On Error GoTo 0

End Function

 

 

'Finally end the script

WScript.quit

 

 

Viele Grüße, thumb

[Dustin781 11]

hey.. das ist verdammt geil!

 

Ich musste nur den "Option Explicit" rausnehmen.. warum auch immer .. und er läuft...

 

Jetzt muss ich es nur noch so basteln, das nur eine Meldung mit Text kommt wenn es noch eine Woche hin ist..

 

das hat mir schon mal richtig geholfen!!!!!

 

DANKE!!

[thumb 10]

Hi,

 

ändere den Wert der Varibale "strWrngThresh", dies sind die Tage bis zum Ablauf des Kontos!

 

Gruß, THUMB