Windows-Server-2003

更改組策略後帳戶密碼仍然過期

  • February 15, 2021

假設我有一個組策略,將最大密碼期限設置為 90 天。有些使用者 91 天沒有更改密碼,所以他們的密碼應該過期了。

如果我隨後刪除該組策略以使最大密碼年齡未定義,該帳戶是否仍會過期?換句話說,當該使用者再次登錄時,是否仍需要更改密碼?

我認為不會,但我似乎在我們的域控制器上觀察到完全相反的行為;也就是說,在我更改組策略設置並使用密碼已過期的帳戶登錄後,我仍然會收到有關它的提示。

有沒有人確定這兩種方式,還是我還缺少其他東西?

一旦密碼過期,就是這樣。他們將被提示更改它。即使您更改組策略。原因是該帳戶設置了一個標誌,上面寫著“下次登錄時更改密碼”

您可以進入使用者和組管理器並將使用者設置回未過期的密碼。

這讓我很難過,很難用Google搜尋,所以我發布了我在這個問題上找到的答案,因為它是唯一的結果之一。

我的問題與 OP 非常相似,我試圖完全禁用密碼過期,並嘗試通過在預設域策略中設置Default Domain Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Account Policy > Password Policy > Max Password Age來做到這一點。Undefined在接下來的幾個月裡,使用者密碼仍然過期,我仔細檢查了組策略結果並rsop.msc多次嘗試追踪它。

最後我發現要禁用密碼過期,您需要設置Max Password PolicyEnabledwith value 0 days(而不是Undefined)(根據解釋選項卡上的文件 - derp)。

幫助我得出這個結論的是使用此查詢檢查所有帳戶密碼的到期情況:

Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} `
–Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" | Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; `
Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT

結果看起來像這樣

PS C:\Windows\system32> Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} `
>>  –Properties "SamAccountName","msDS-UserPasswordExpiryTimeComputed" |
>> Select-Object -Property "SamAccountName", @{Name="Password Expiry Date"; `
>> Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}} | FT

SamAccountName       Password Expiry Date
--------------       --------------------
Administrator        2021-08-03 2:19:56 PM
User1.Surname1       2021-08-14 9:19:46 AM
User2.Surname2       2021-08-07 8:22:44 AM
User3.Surname3       2021-08-01 9:49:09 AM
User4.Surname4       2021-08-14 9:30:55 AM
etc.

將策略更新為 後Enabled - 0 days,我再次執行查詢,這次結果顯示任何帳戶都沒有過期。

SamAccountName       Password Expiry Date
--------------       --------------------
Administrator        
User1.Surname1       
User2.Surname2       
User3.Surname3       
User4.Surname4        
etc.

引用自:https://serverfault.com/questions/26944