Active Directory 手動重置密碼有效性

我被要求為我們的（小型）Active Directory 域設置以下一次性密碼方案：每當管理員必須手動重置使用者的密碼時，密碼應該只是臨時的，即使用者必須在登錄，其有效期應僅為 24 小時。如果使用者在 24 小時內未登錄並更改密碼，則該帳戶應自動停用。

我已經研究了各種方法來做到這一點，包括使用預定的 Powershell 腳本，但我似乎找不到任何可以實現這種情況的方法。

這在 AD 中是否可能？如果是，我該如何實施？

對於 pwdLastSet == 0 的帳戶，您需要檢查 pwdLastSet 上修改日期時間的複制屬性元數據。

pwdLastSet 複製屬性元數據的 LastOriginatingChangeTime 可用於計算多久之前設置為“使用者下次登錄時必須更改密碼”。

Get-ADReplicationAttributeMetadata -Object "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" -Server CONTOSOMDDC1

AttributeName                                    : pwdLastSet
AttributeValue                                   : 0
FirstOriginatingCreateTime                       :
IsLinkValue                                      : False
LastOriginatingChangeDirectoryServerIdentity     : CN=NTDS Settings,CN=CONTOSOMDDC1,CN=Servers,CN=CONTOSO-MDSite,CN=Sit
                                                  es,CN=Configuration,DC=contoso,DC=com
LastOriginatingChangeDirectoryServerInvocationId : 4b6342cb-0853-493b-8485-991d9768fba3
LastOriginatingChangeTime                        : 2017-01-06 9:47:30 AM
LastOriginatingChangeUsn                         : 3256879
LastOriginatingDeleteTime                        :
LocalChangeUsn                                   : 3256879
Object                                           : CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com
Server                                           : CONTOSOMDDC1.contoso.com
Version                                          : 5

獲取 ADReplicationAttributeMetadata

https://technet.microsoft.com/en-us/library/hh852209(v=wps.630).aspx

如果使用低級作業系統，可以使用 repadmin：

repadmin /showobjmeta CONTOSOMDDC1 "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" | findstr /i pwdLastSet  

3256879               CONTOSO-MDSite\CONTOSOMDDC1   3256879 2017-01-06 09:47:30    5 pwdLastSet

引用自：https://serverfault.com/questions/824649