更改組策略後帳戶密碼仍然過期

假設我有一個組策略，將最大密碼期限設置為 90 天。有些使用者 91 天沒有更改密碼，所以他們的密碼應該過期了。

如果我隨後刪除該組策略以使最大密碼年齡未定義，該帳戶是否仍會過期？換句話說，當該使用者再次登錄時，是否仍需要更改密碼？

我認為不會，但我似乎在我們的域控制器上觀察到完全相反的行為；也就是說，在我更改組策略設置並使用密碼已過期的帳戶登錄後，我仍然會收到有關它的提示。

有沒有人確定這兩種方式，還是我還缺少其他東西？

一旦密碼過期，就是這樣。他們將被提示更改它。即使您更改組策略。原因是該帳戶設置了一個標誌，上面寫著“下次登錄時更改密碼”

您可以進入使用者和組管理器並將使用者設置回未過期的密碼。

這讓我很難過，很難用Google搜尋，所以我發布了我在這個問題上找到的答案，因為它是唯一的結果之一。

我的問題與 OP 非常相似，我試圖完全禁用密碼過期，並嘗試通過在預設域策略中設置Default Domain Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Account Policy > Password Policy > Max Password Age來做到這一點。Undefined在接下來的幾個月裡，使用者密碼仍然過期，我仔細檢查了組策略結果並rsop.msc多次嘗試追踪它。

最後我發現要禁用密碼過期，您需要設置Max Password Policy為Enabledwith value 0 days（而不是Undefined）（根據解釋選項卡上的文件 - derp）。

幫助我得出這個結論的是使用此查詢檢查所有帳戶密碼的到期情況：

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} `
–Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; `
Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT

結果看起來像這樣

PS C:\Windows\system32> Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} `
>>  –Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" |
>> Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; `
>> Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT

SamAccountName       Password Expiry Date
--------------       --------------------
Administrator        2021-08-03 2:19:56 PM
User1.Surname1       2021-08-14 9:19:46 AM
User2.Surname2       2021-08-07 8:22:44 AM
User3.Surname3       2021-08-01 9:49:09 AM
User4.Surname4       2021-08-14 9:30:55 AM
etc.

將策略更新為 後Enabled - 0 days，我再次執行查詢，這次結果顯示任何帳戶都沒有過期。

SamAccountName       Password Expiry Date
--------------       --------------------
Administrator        
User1.Surname1       
User2.Surname2       
User3.Surname3       
User4.Surname4        
etc.

引用自：https://serverfault.com/questions/26944