如果使用者密碼在 Windows 域中設置為自動過期，這是否會影響 ADUC 中的強制密碼更改複選框？

假設如下：

1. Windows 域設置了一個策略，以確保使用者必須每 90 天重置一次密碼
2. 一個使用者帳戶（我們將其稱為“UserA”）最後一次更改密碼是在 3 個月前，因此為他們的帳戶觸發了此策略 - 強制在下次登錄時更改密碼

在這種情況下，如果域管理員要在 UserA 的“屬性”對話框中打開“帳戶”選項卡，是否會選中“使用者下次登錄時必須更改密碼”複選框 - 或者 ADUC 中的此設置不受域密碼到期的影響政策？

此復選框與任何密碼過期策略幾乎無關。選中該框的效果是將 pwdlastset 屬性設置為 0；這實際上是手動使密碼過期，因此需要立即更改密碼。

這不能在配置為永不過期的帳戶（在帳戶上，而不是通過策略）上執行。

如果管理員已選中該框，或使用 Powershell 執行類似任務 ( Set-AdUser -ChangePasswordAtLogon $true) 或其他工具，並且另一個管理員在更改密碼之前打開了帳戶屬性，則該框將顯示為其他管理員已選中。本質上，它僅在屬性為 0 或 -1 時才顯示為選中狀態。

為了更直接地回答我認為您要問的問題：不，該複選框不反映對上次設置密碼的日期、域的密碼策略、DC 上的本地安全策略以及任何 Fine-帳戶所受的細粒度密碼策略 - 它只是手動使密碼過期或告訴您有人手動使密碼過期的工具。

我不確定問題背後的動機是什麼，但如果要查找密碼過期的帳戶 - 此復選框對您沒有幫助。

儘管為了診斷/排除它的作用，我不會使用該複選框；取消選中該框（當其設置時）會導致系統將 pwdlastset 屬性更新為目前日期和時間——有效地延長了目前密碼的壽命。

引用自：https://serverfault.com/questions/1048153