是否可以将活动目录中的密码历史记录重置到特定的时间点?
例如,我想保留 2009 年 3 月 1 日之后但不保留 2009 年 3 月 1 日之前更改的密码历史记录?
感谢帮助。
答案1
我不知道有什么方法可以将密码历史记录重置为设定的时间点。我认为(但不确定)如果您将策略更改为存储最后三个密码,那么它会保留最后三个密码但丢弃较早的密码。如果您大致知道密码需要更改的频率,例如,如果策略要求每 30 天更改一次,您可以使用它将密码历史记录重置为大致的时间点。
JR
答案2
产品中没有内置功能可以满足您的要求。我假设您指的是“强制密码历史记录”功能,并且您建议“追溯性地”从您提到的日期设置的密码开始实施“强制密码历史记录”策略。
如果该日期是过去 60 天内(默认情况下,除非您更改了 AD 中的墓碑寿命),则可以从该日期的备份中对目录的子树(或整个目录)执行权威恢复,然后在那时打开“强制密码历史记录”功能。由于您提到的日期已超过 60 天,因此默认情况下您无法恢复该日期的备份。
即使您确实有一个允许恢复窗口内的日期,我也不建议这样做。首先,您将丢失在恢复日期和当前日期之间对恢复对象所做的所有更改。其次,恢复 AD 不是我会轻易涉足的过程。我以前做过,在实验室里做过很多次,幸运的是,在生产中只做过几次。每次,在生产场景中,这都是一件有点“白关节”的事情,以确保您做的正是您想要的(因为您所做的任何更改,当具有市场权威性时,都会复制到域和全局目录复制集中的所有 DC)。我只建议客户在别无选择的情况下才执行 AD 恢复。