Scripting Guy 為您解答問題
.gif "Hey, Scripting Guy!")
歡迎使用 TechNet 專欄,Microsoft Scripting Guy 會在此為您解答有關系統管理指令碼的常見問題。您有關於系統管理指令碼方面的問題嗎?請將電子郵件傳送到 scripter@microsoft.com。我們無法保證能夠逐一回答每個問題,不過我們會盡力而為。
資源
如何取得擁有過期密碼的所有本機使用者清單?
|
嗨,Scripting Guy!如何取得擁有過期密碼的所有本機使用者清單? -- JM |
.jpg "Hey, Scripting Guy! Answer") |
JM,您好。謝謝您提出的問題。不過,在回答問題之前,我們有個問題要問您:您手邊不會剛好有多的骰子吧,有嗎?沒錯,骰子,就是在玩棋盤遊戲和其他類似遊戲時使用的那種東西。其實,Scripting Guy 非常需要骰子。事實上,我們要盡快取得 1,000 個骰子。不幸的是,在能夠負擔的價格下,要找出這麼多骰子真的有點困難。 |
.jpg "Hey, Scripting Guy! Question")
主要是因為如果某些東西真的有價格,我們就負擔不起了。 為什麼 Scripting Guy 需要這麼多骰子呢?喔,真的沒有特別的原因。畢竟,我們是 Microsoft 的技術文件作家,所以 1,000 骰子對於技術文件作家而言是相當標準的配備。當一個 Scripting Guy 已經有夠困難了。但是,您可以試試看當個手上沒有骰子的 Scripting Guy。 知道了吧?不是告訴過您了:沒有足夠的骰子,您真的沒辦法當一個 Scripting Guy,對吧? 反正,JM,如果您剛好有沒有在用的骰子,我們會很樂意接手的。而且我們想要提供這個機會給閱讀本專欄的任何讀者。您的閣樓或地下室堆滿了成箱的骰子嗎?那麼,請將它們寄到這個地址: Microsoft Scripting Guy 我們將很樂意接受它們,形狀、大小和顏色都不拘。 絨毛骰子可能就免了。 當然,Scripting Guy 絕對不會如此無禮地要求骰子,卻不提供一點回報。我們來看看有什麼可以提供好了...對了,列出擁有過期密碼之所有本機使用者的指令碼如何? |
 |
Const ADS_UF_DONT_EXPIRE_PASSWD = &H10000
strComputer = "atl-ws-01"
Set colAccounts = GetObject("WinNT://" & strComputer & "")
colAccounts.Filter = Array("user")
For Each objUser In colAccounts
If Not objUser.UserFlags AND ADS_UF_DONT_EXPIRE_PASSWD Then
Wscript.Echo objUser.Name
End If
Next
好吧,我們來看看這個指令碼如何運作。如您所見,我們一開始會定義一個名為 ADS_UF_DONT_EXPIRE_PASSWD 的常數 (很可愛的名字,對吧?),然後將其值設定為 &H10000。沒錯,這個常數將協助我們判斷使用者是否擁有過期的密碼。接著,我們會將電腦的名稱 (要在其中尋找本機帳戶的電腦) 指派給名為 strComputer 的變數,然後使用下面這行程式碼來繫結至電腦的「系統帳戶管理員」(SAM):
Set colAccounts = GetObject("WinNT://" & strComputer & "")
根據預設,以這種方式繫結至 SAM 就會傳回電腦上所有本機使用者帳戶的相關資訊。此外,它也會傳回該電腦上所有本機群組、安裝在該電腦上的所有服務、安裝在該電腦上的所有印表機等項目的相關資訊。老實說,我們根本不在乎這些項目,我們只在乎使用者帳戶 (如同事們所證實,撰寫本專欄的 Scripting Guy 肯定是位受歡迎的人)。因此,下一步就是要套用將傳回資料限制為使用者帳戶的篩選器:
colAccounts.Filter = Array("user")
這實在是個好問題:為什麼我們要傳回所有使用者帳戶的集合?撰寫一個搜尋本機電腦並傳回僅包含擁有過期密碼之使用者的 SQL 查詢不會比較快而且容易嗎?老實說,沒錯,這樣做會比較快而且容易。不過,這種方法有一點問題:它無法運作。與 Active Directory 不同的是,我們無法針對 SAM 執行 SQL 查詢。因此,每當我們需要處理本機帳戶時,就必須採用這種老式做法:傳回所有帳戶的集合,然後分別檢查每一個帳戶,以便查看該使用者是否擁有過期的密碼。
恰巧這樣做會讓我們得到指令碼的下一個部分。在設定 For Each 迴圈以便逐一處理集合中的每個帳戶之後,我們接著要執行下面這行程式碼:
If Not objUser.UserFlags AND ADS_UF_DONT_EXPIRE_PASSWD Then
信不信由您,我們在此所做就是查看使用者的密碼是否過期。密碼過期資訊剛好會儲存在名為 UserFlags 的遮罩屬性中。如果您對遮罩屬性不熟悉,這種屬性是可保存多個值的單一屬性 (如需 UserFlags 中儲存之值的完整清單,請參閱 MSDN 上的 WinNT 使用者物件說明文件 (英文))。單一屬性如何包含多個值?基本上,簡單來說,遮罩包含一系列「參數」,而每個參數都具有唯一的值 (在此情況下,代表過期密碼的參數具有 &H10000 的值)。如果指定的參數已開啟,就表示該屬性已啟用。如果參數已關閉,就表示該屬性已停用。雖然檢查參數值的語法有點笨拙,但是這一部分的程式碼會告訴我們使用者是否擁有未過期的密碼 (也就是說,它會告訴我們 ADS_UF_DONT_EXPIRE_PASSWD 參數是否已開啟):
objUser.UserFlags AND ADS_UF_DONT_EXPIRE_PASSWD
您說得沒錯:我們對於擁有未過期密碼的使用者不感興趣,對吧?因此,我們也使用了一樣笨拙的語法 If Not:
If Not objUser.UserFlags AND ADS_UF_DONT_EXPIRE_PASSWD Then
這只是以 VBScript 的方式來表示:「如果使用者並非擁有未過期的密碼,那麼請執行下一個程式碼區塊」。
請注意:那麼,為什麼 VBScript 不乾脆這樣表示,卻讓我們使用 If Not 這種奇怪的程式碼慣例呢?我們也不知道。請在「人生的意義為何?」和「為什麼 Microsoft 不在 Scripting Guy 說他們需要骰子時提供骰子?」旁邊,記下這個問題當做其中一個人生的重大未解問題。 |
如果結果顯示使用者確實擁有過期的密碼,我們接著就要使用下面這行程式碼來回應使用者名稱:
Wscript.Echo objUser.Name
然後我們要回到迴圈的頂端,針對集合中的下一個項目重複此程序。
不是有人已經問過為什麼我們需要 1,000 個骰子的原因嗎?老實說,我們實際需要 2,000 個骰子。不過,我們決定以 1,000 個為起點。
除了這一點外,我們真的不能透露任何消息,否則就沒有驚喜了 (此外,我們很可能永遠不會履行目前的規劃)。因此,換言之,您必須相信 Scripting Guy 會將這些骰子用在正途。但是,這也沒什麼大不了。畢竟,Scripting Guy 以前曾經讓您失望過嗎?
喔,對了,差點忘記。這次我們不會讓 Peter 參與這個專案。我們保證!