Scripting Guy 為您解答問題

歡迎使用 TechNet 專欄，Microsoft Scripting Guy 會在此為你解答有關系統管理指令碼的常見問題。你有關於系統管理指令碼方面的問題嗎？請將電子郵件傳送到 scripter@microsoft.com。我們無法保證能夠逐一回答每個問題，不過我們會盡力而為。

資源

• 嗨，Scripting Guy!依類別封存 (英文)

• 嗨，Scripting Guy!依日期封存

• 嗨，Scripting Guy!下載 (英文)

如何設定 Active Directory 帳戶讓密碼永遠不過期？

	嗨，Scripting Guy!如何設定 Active Directory 帳戶讓密碼永遠不過期？         -- BB
	BB，你好。開始以前，我們有個問題要問你：你同不同意第 22 條軍規是有史以來最偉大的四本小說之一？我們之所以問這個問題，是因為 Scripting 小子最近上英文課的時候，老師要求他從一份書單中選擇一本書來閱讀。「嗨，Scripting 老爸!」他說。「你讀過這些書嗎？這裡面有哪一本書好看嗎？」

為了給他點顏色瞧瞧，讓他知道厲害!Scripting 老爸到處尋找志同道合的夥伴，認同第 22 條軍規是有史以來最偉大的四部小說之一。你會支持 Scripting 老爸嗎？BB。好啦!看來不給點甜頭不行，給你一支指令碼怎麼樣？這支指令碼能夠設定 Active Directory 使用者帳戶，讓帳戶密碼永不過期：

Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
 
Set objUser = GetObject("LDAP://cn=Ken Myer, ou=Finance, dc=fabrikam, dc=com")

intUserAccountControl = objUser.Get("userAccountControl")
 
If Not objUser.userAccountControl AND ADS_UF_DONT_EXPIRE_PASSWD Then
    objUser.Put "userAccountControl", _
        objUser.userAccountControl XOR ADS_UF_DONT_EXPIRE_PASSWD
    objUser.SetInfo
End If

你說什麼？「條件還不夠好？」哇!你還真是個強硬不妥協的談判對手啊，BB!我看這樣好了：我們先來解釋這支指令碼如何運作，怎麼樣？就這麼說定嘍？好，就這麼辦。

如你所見，指令碼一開始先定義常數 ADS_UF_DONT_EXPIRE_PASSWD，然後為這個常數指定十六進位值 &h10000。重新設定帳戶時會需要這個常數，以便讓帳戶密碼永不過期。

定義常數之後，我們要連線到 Active Directory 中的 Ken Myer 使用者帳戶。因為 Ken 有一個 CN 等於 Ken Myer，也因為他的帳戶是位於 Fabrikam.com 的 Finance OU 中，程式碼必須以如下方式連線至該帳戶：

Set objUser = GetObject("LDAP://cn=Ken Myer, ou=Finance, dc=fabrikam, dc=com")

這下怪的地方來了 (只是有一點怪，不是很怪啦)。是這樣的，其實決定密碼是否過期的 Active Directory 屬性是包含於 userAccountControl 屬性之中。userAccountControl 屬性是所謂的「位元遮罩」屬性：也就是說，它是包含多個值的單一屬性。這點很重要嗎？絕對重要。因為 userAccountControl 包含多個值，我們沒辦法直截了當地將它設定為，比方說，True 或 False。而是必須使用「位元邏輯」切換控制密碼有效期限的特定屬性。這只是事先預告一下，說明為什麼你將要看到的一些程式碼會看起來有點不太尋常，當然還不只是有點不尋常啦。

下一步，我們要判斷帳戶是否有尚未過期的密碼，畢竟如果 Ken 已經有尚未過期的密碼，我們就不必多此一舉了，對不對？我們運用位元邏輯，使用下列這行程式碼來判定「密碼尚未過期」屬性 (以常數 ADS_UF_DONT_EXPIRE_PASSWD 表示) 是不是還沒 啟用 (請注意我是用是不是還沒這樣的句法)：

If Not objUser.userAccountControl AND ADS_UF_DONT_EXPIRE_PASSWD Then

我們剛剛已經說過了，userAccountControl 屬性其實是由一些不同的屬性值組成，暫時就將它們當作好像控制台上的參數。在這裡我們所做的只是查看是否已開啟密碼過期參數而已 (還是以常數 ADS_UF_DONT_EXPIRE_PASSWD 來表示)。如果已開啟參數，我們就沒事了；如果尚未開啟，就必須將它開啟。位元邏輯常搞得人暈頭轉向的，尤其是乍看之下最難懂。但是，至少在這個範例中，基本概念是很簡單的：我們採用個別參數 (屬性)，不是開啟 (啟用它) 就是關閉 (停用它)。

下面兩行程式碼就是執行這項作業。在第一行中，我們是使用 Put 方法，變更本機快取中的 userAccountControl 值。(這個本機快取到底是怎麼回事？如果你不確定，請參閱這個 指令碼猜謎解答 (英文)，取得詳細資訊。)請注意，這裡必須傳遞兩個參數給 Put 方法：

• userAccountControl 是我們要修改的屬性。

• objUser.userAccountControl XOR ADS_UF_DONT_EXPIRE_PASSWD 是「切換」「密碼尚未過期」屬性值的位元程式碼。我們只是想說：如果以常數 ADS_UF_DONT_EXPIRE_PASSWD 表示的參數 (屬性) 已開啟，則將它關閉；如果已關閉，則將它開啟。這項作業很容易，因為 XOR 運算子只是將位元值切換為開或關而已；這就是為何必須確認 Ken Myer 的帳戶目前確實沒有永不過期的密碼。如果它已經有不過期的密碼，XOR 會切換該值，而給它會過期的密碼。

懂了吧？有時候我們確實知道自己在幹什麼，可不是胡搞瞎稿。

在下一行我們要呼叫 SetInfo 方法，將變更寫回 Active Directory，這樣整個程序就完成了。

當然，很多人可能會更有興趣走另外一條路，也就是，考慮到密碼永不過期的情況，然後進行設定，以便讓密碼確實過期。下面的指令碼就是執行這項作業，查看是否已啟用「密碼永遠不會到期」屬性，若已啟用，則加以停用 (同樣地，使用 XOR 只是切換值而已)：

Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
 
Set objUser = GetObject("LDAP://cn=Ken Myer, ou=Finance, dc=fabrikam, dc=com")

intUserAccountControl = objUser.Get("userAccountControl")
 
If objUser.userAccountControl AND ADS_UF_DONT_EXPIRE_PASSWD Then
    objUser.Put "userAccountControl", _
        objUser.userAccountControl XOR ADS_UF_DONT_EXPIRE_PASSWD
    objUser.SetInfo
End If

你說怎麼樣？BB：這樣夠不夠？你會不會投票支持第 22 條軍規是有史以來最偉大的四本小說之一？那你是答應嘍？!