為什麼 Active Directory 密碼重置忽略密碼歷史計數規則？

我有一種情況，我正在使用的 AD 域有一個足夠合理的密碼策略（例如，足夠高PasswordHistoryCount的MinPasswordLength設置等）。我可以使用Set-ADAccountPasswordcmdlet 通過 PowerShell 輕鬆更改給定使用者的密碼，如下所示：

Set-ADAccountPassword
   -Identity "Forename.Surname"
   -NewPassword (ConvertTo-SecureString -AsPlainText "incorrectp0nypetrolnail" -Force)
   -OldPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)

ADPasswordComplexityException當嘗試重用密碼時違反密碼策略時，上述內容也會引發預期，即使用以下消息：

"The password does not meet the length, complexity, or history requirement of the domain."

但是，重置密碼時不會強制執行密碼歷史記錄策略。使用“Active Directory 使用者和電腦”UI 或使用Set-ADAccountPasswordcmdlet 時會發生這種情況（假設使用者以前使用過以下密碼）：

Set-ADAccountPassword
   -Identity "Forename.Surname"
   -Reset
   -NewPassword (ConvertTo-SecureString -AsPlainText "correcth0rsebatterystaple" -Force)

我本來希望ADPasswordComplexityException在這種情況下會引發同樣的異常。

那麼 - 有什麼方法可以防止使用者在重置密碼時重複使用密碼？如果沒有，允許這樣做的合理理由是什麼？

這是預期的行為，是設計使然。管理重置不受年齡或歷史要求的限制。

引用自：https://serverfault.com/questions/728591