我们正在我们的环境中设置 AD,因此我已导入大多数用户,并要求他们必须在下次登录时更改密码。
我们正在使用 Azure Active Directory(Premium)。
我希望用户使用 Azure 门户设置他们的初始密码和密码重置信息。
然而,该门户网站不会允许尚未更改密码的任何人登录。
我猜它正在查看“pwdLastSet”属性,但似乎没有办法通过 PowerShell 设置该属性。该属性似乎是唯一与能够成功登录的人真正不同的属性。
也许我需要设置一个 MSOL 属性?
我错了吗?有人能做到这一点吗?
答案1
PwdLastSet 是一个受限属性,无法手动或单独设置。只有域控制器可以在用户更改密码时更新该属性。
听起来 MS 设计的 ADSync 以这种方式工作,适用于设置了“必须更改”标志的帐户。
https://support.microsoft.com/en-us/kb/2853347
重置用户密码时,请确保未选中“用户下次登录时必须更改密码”复选框。