我们有许多远程工作(域外)的用户,在我为 AD 设置密码使用期限(和复杂性)之前,我想知道密码使用期限是否与登录数据一起存储在本地。我最不想做的就是为我们的远程用户搞砸任何事情。
我找不到任何表明它确实在本地缓存的东西(在我看来这真的没有意义),但同样,我找不到任何表明它没有缓存的东西。
有人能为我明确地陈述这一立场吗?
干杯。
答案1
我可以通过经验(与域断开连接工作)确认过期不会影响缓存的凭据。
基本上,当密码过期时,我必须在 Outlook 或 OWA 等中输入新密码,但在笔记本电脑上登录 Windows 时,我会使用旧的(已过期的)密码。
请注意,即使您可以登录 Windows 本身,某些应用程序也会因密码过期而出现问题。Outlook 会提示,但其他应用程序可能不会。例如,一旦密码过期,SSRS 就会停止工作,因为如果它们不起作用,托管应用程序只会传递(过期的)Windows 凭据,而不会进行后续提示。
答案2
断开网络后,您无法更改密码,因此没有必要在本地存储此密码使用期限。如果用户尝试更改密码,则会收到错误消息,因为必须联系域控制器才能执行更改。
此外,由于它是全局的,因此活动目录中没有具有“最大年龄”的实际对象,因此进一步表明它没有以任何方式在本地存储。
答案3
[编辑]:这个答案是基于误解的。请参阅 Mark Sowuls 的答案。
如果您在域策略中设置了密码使用期限,连接一台计算机,使其接受该策略,更改登录用户的密码,然后将计算机移出现场,您会发现密码在有效期过后过期。它仍会给出通常的密码过期通知。
您仍然可以在本地更改密码,但它将与密码即将过期的域帐户不同步。
可以通过 vpn 登录到域连接的终端服务器并将域用户密码更改为您在本地计算机上设置的任何密码(在到期之前)来(主要)缓解此问题
或者要求用户访问办公室网络进行适当的同步,但他们往往无法及时完成:-)
适当的用户教育是最大限度地减少此类支持呼叫的关键。