具有复选框“强制更改密码”的域帐户与仅有过期密码(比如 90 天后)的帐户之间似乎存在细微的差别。
除了更改策略并影响所有帐户外,还有其他方法可以模拟/强制帐户“过期”吗?根据域的功能级别是否存在差异?
答案1
您可以将用户的 pwdlastset 属性设置为特定日期/时间,从而使其过期。您可以使用 powershell、wsh、vbs 等执行此操作。但请注意,字段的格式为整数8
答案2
两种情况下都必须更改密码,但不同之处在于,密码过期后将无法再用于身份验证,而需要更改的密码仍然有效。正如您所说,这很微妙。
为了进行测试,我建议创建一个新策略以仅适用于测试帐户,并将有效期设置为足够短的时间以便于测试。
答案3
最终结果是一样的,用户的密码必须更改。
您可以使用 powershell 脚本来更改域上所有用户的设置。
基于功能级别没有区别。功能级别只告诉域可以在域上使用哪个版本的域控制器。