Active-Directory
Active Directory 手動重置密碼有效性
我被要求為我們的(小型)Active Directory 域設置以下一次性密碼方案:每當管理員必須手動重置使用者的密碼時,密碼應該只是臨時的,即使用者必須在登錄,其有效期應僅為 24 小時。如果使用者在 24 小時內未登錄並更改密碼,則該帳戶應自動停用。
我已經研究了各種方法來做到這一點,包括使用預定的 Powershell 腳本,但我似乎找不到任何可以實現這種情況的方法。
這在 AD 中是否可能?如果是,我該如何實施?
對於 pwdLastSet == 0 的帳戶,您需要檢查 pwdLastSet 上修改日期時間的複制屬性元數據。
pwdLastSet 複製屬性元數據的 LastOriginatingChangeTime 可用於計算多久之前設置為“使用者下次登錄時必須更改密碼”。
Get-ADReplicationAttributeMetadata -Object "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" -Server CONTOSOMDDC1 AttributeName : pwdLastSet AttributeValue : 0 FirstOriginatingCreateTime : IsLinkValue : False LastOriginatingChangeDirectoryServerIdentity : CN=NTDS Settings,CN=CONTOSOMDDC1,CN=Servers,CN=CONTOSO-MDSite,CN=Sit es,CN=Configuration,DC=contoso,DC=com LastOriginatingChangeDirectoryServerInvocationId : 4b6342cb-0853-493b-8485-991d9768fba3 LastOriginatingChangeTime : 2017-01-06 9:47:30 AM LastOriginatingChangeUsn : 3256879 LastOriginatingDeleteTime : LocalChangeUsn : 3256879 Object : CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com Server : CONTOSOMDDC1.contoso.com Version : 5
獲取 ADReplicationAttributeMetadata
https://technet.microsoft.com/en-us/library/hh852209(v=wps.630).aspx
如果使用低級作業系統,可以使用 repadmin:
repadmin /showobjmeta CONTOSOMDDC1 "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" | findstr /i pwdLastSet 3256879 CONTOSO-MDSite\CONTOSOMDDC1 3256879 2017-01-06 09:47:30 5 pwdLastSet