更改組策略後帳戶密碼仍然過期
假設我有一個組策略,將最大密碼期限設置為 90 天。有些使用者 91 天沒有更改密碼,所以他們的密碼應該過期了。
如果我隨後刪除該組策略以使最大密碼年齡未定義,該帳戶是否仍會過期?換句話說,當該使用者再次登錄時,是否仍需要更改密碼?
我認為不會,但我似乎在我們的域控制器上觀察到完全相反的行為;也就是說,在我更改組策略設置並使用密碼已過期的帳戶登錄後,我仍然會收到有關它的提示。
有沒有人確定這兩種方式,還是我還缺少其他東西?
一旦密碼過期,就是這樣。他們將被提示更改它。即使您更改組策略。原因是該帳戶設置了一個標誌,上面寫著“下次登錄時更改密碼”
您可以進入使用者和組管理器並將使用者設置回未過期的密碼。
這讓我很難過,很難用Google搜尋,所以我發布了我在這個問題上找到的答案,因為它是唯一的結果之一。
我的問題與 OP 非常相似,我試圖完全禁用密碼過期,並嘗試通過在預設域策略中設置
Default Domain Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Account Policy > Password Policy > Max Password Age
來做到這一點。Undefined
在接下來的幾個月裡,使用者密碼仍然過期,我仔細檢查了組策略結果並rsop.msc
多次嘗試追踪它。最後我發現要禁用密碼過期,您需要設置
Max Password Policy
為Enabled
with value0 days
(而不是Undefined
)(根據解釋選項卡上的文件 - derp)。幫助我得出這個結論的是使用此查詢檢查所有帳戶密碼的到期情況:
Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} ` –Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; ` Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT
結果看起來像這樣
PS C:\Windows\system32> Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} ` >> –Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" | >> Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; ` >> Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT SamAccountName Password Expiry Date -------------- -------------------- Administrator 2021-08-03 2:19:56 PM User1.Surname1 2021-08-14 9:19:46 AM User2.Surname2 2021-08-07 8:22:44 AM User3.Surname3 2021-08-01 9:49:09 AM User4.Surname4 2021-08-14 9:30:55 AM etc.
將策略更新為 後
Enabled - 0 days
,我再次執行查詢,這次結果顯示任何帳戶都沒有過期。SamAccountName Password Expiry Date -------------- -------------------- Administrator User1.Surname1 User2.Surname2 User3.Surname3 User4.Surname4 etc.