Active-Directory

我可以在 AD 中重置過期密碼的時鐘嗎?

  • February 15, 2018

我有一個客戶,他的使用者都通過 RDP 訪問解決方案,並且在 AD 中都設置為“密碼永不過期”。

我們正在執行密碼過期策略並引入自助憑證管理器,以允許使用者在密碼過期時更改其密碼。

但是,我注意到,一旦我取消選中使用者的“密碼永不過期”,該使用者將立即無法登錄。如果我在本地嘗試該帳戶,我會被告知密碼已過期。如果我進入AD並更改密碼,該帳戶可以再次登錄。

如果我不得不猜測,我會說 Windows 可能會辨識出我目前的密碼超過 X 天之類的。

值得一提的是,“帳戶過期”選項仍設置為“從不”,但我已嘗試將其調整為未來,但沒有任何區別。

在此處輸入圖像描述

我真正想要做的是倒計時,這樣當我取消選中“密碼永不過期”選項時,使用者有很短的時間……也許是 7 天左右的時間來更新他們的密碼,然後他們無法登錄,但在此期間他們可以保留和使用現有密碼。

任何幫助都會得到幫助:)

pwdLastSet屬性用於計算密碼年齡。

該值受到保護,您可以設置的唯一值是0或**-1**。

您查找的值為**-1**,系統會將 pwdLastSet 設置為目前日期/時間。因此,90 天或任何定義的時間段將從頭開始。

0會做相反的事情,它會立即使密碼過期。

您手動或使用腳本將其設置為 0,然後將其設置為 -1 並取消選中該帳戶的永不過期選項。

例如,之前;

在此處輸入圖像描述

之後設置為0,和-1;

在此處輸入圖像描述

引用自:https://serverfault.com/questions/897253