Windows

如果使用者密碼在 Windows 域中設置為自動過期,這是否會影響 ADUC 中的強制密碼更改複選框?

  • December 31, 2020

假設如下:

  1. Windows 域設置了一個策略,以確保使用者必須每 90 天重置一次密碼
  2. 一個使用者帳戶(我們將其稱為“UserA”)最後一次更改密碼是在 3 個月前,因此為他們的帳戶觸發了此策略 - 強制在下次登錄時更改密碼

在這種情況下,如果域管理員要在 UserA 的“屬性”對話框中打開“帳戶”選項卡,是否會選中“使用者下次登錄時必須更改密碼”複選框 - 或者 ADUC 中的此設置不受域密碼到期的影響政策?

此復選框與任何密碼過期策略幾乎無關。選中該框的效果是將 pwdlastset 屬性設置為 0;這實際上是手動使密碼過期,因此需要立即更改密碼。

這不能在配置為永不過期的帳戶(在帳戶上,而不是通過策略)上執行。

如果管理員已選中該框,或使用 Powershell 執行類似任務 ( Set-AdUser -ChangePasswordAtLogon $true) 或其他工具,並且另一個管理員在更改密碼之前打開了帳戶屬性,則該框將顯示為其他管理員已選中。本質上,它僅在屬性為 0 或 -1 時才顯示為選中狀態。

為了更直接地回答我認為您要問的問題:不,該複選框不反映對上次設置密碼的日期、域的密碼策略、DC 上的本地安全策略以及任何 Fine-帳戶所受的細粒度密碼策略 - 它只是手動使密碼過期或告訴您有人手動使密碼過期的工具。

我不確定問題背後的動機是什麼,但如果要查找密碼過期的帳戶 - 此復選框對您沒有幫助。

儘管為了診斷/排除它的作用,我不會使用該複選框;取消選中該框(當其設置時)會導致系統將 pwdlastset 屬性更新為目前日期和時間——有效地延長了目前密碼的壽命。

引用自:https://serverfault.com/questions/1048153