我有一位客户,其所有用户都通过 RDP 访问解决方案,并且在 AD 中将所有用户设置为“密码永不过期”。
我们正在实施密码过期策略,并引入自助凭证管理器,以允许用户在密码过期时更改密码。
但是,我注意到,一旦我取消选中某个用户的“密码永不过期”,该用户将立即无法登录。如果我在本地尝试该帐户,系统会提示我密码已过期。如果我进入 AD 并更改密码,该帐户可以再次登录。
如果我不得不猜测,我会说 Windows 可能认识到我当前的密码已超过 X 天或类似的情况。
还值得一提的是,“帐户过期”选项仍然设置为“永不”,但我已尝试将其调整为未来,但并没有什么区别。
我真正想要做的是将时钟倒转,这样当我取消选中“密码永不过期”选项时,用户就有一段短暂的时间......大概 7 天左右的时间来更新他们的密码,否则密码会过期,他们无法登录,但在此期间他们可以保留和使用他们现有的密码。
任何帮助都值得赞赏:)
答案1
最后设置密码属性用于计算密码年龄。
该值受到保护,并且您唯一可以设置的值是0或者-1。
您要寻找的价值是-1,系统会将 pwdLastSet 设置为当前日期/时间。因此,90 天或任何定义的时间段将从头开始重新计算。
0会做相反的事情,它会让密码立即过期。
您可以手动或使用脚本将其设置为 0,然后将其设置为 -1 并取消选中该帐户的“永不过期”选项。
例如,之前;
之后设置为0,并且-1;
