假设以下情况:
Windows 域设置了一项策略,以确保用户必须每 90 天重置一次密码
一个用户帐户(我们将其称为“UserA”)上次更改密码是在 3 个月前,因此该帐户触发了此策略 - 强制在下次登录时更改密码
在这种情况下,如果域管理员打开 UserA 的属性对话框中的“帐户”选项卡,是否会勾选“用户必须在下次登录时更改密码”复选框 - 或者 ADUC 中的这个设置不受域密码过期策略的影响?
答案1
此复选框与任何密码过期策略基本无关。选中该复选框的效果是将 pwdlastset 属性设置为 0;这有效地手动使密码过期,并因此要求立即更改密码。
此操作无法在配置为(在帐户上,而不是通过策略)永不过期的帐户上执行。
如果管理员已选中该复选框,或使用 Powershell 执行类似任务 ( Set-AdUser -ChangePasswordAtLogon $true
) 或其他工具,而另一位管理员在更改密码之前打开帐户属性,则该复选框将对另一位管理员显示为已选中。实际上,只有当属性为 0 或 -1 时,它才会显示为已选中。
为了更直接地回答我认为您要问的问题:不,该复选框并不反映对上次设置密码的日期、域的密码策略、DC 上的本地安全策略以及任何帐户所遵循的细粒度密码策略的动态评估 - 它只是一个手动使密码过期的工具,或者告诉您有人手动使密码过期。
我不确定这个问题背后的动机是什么,但如果是为了寻找密码即将过期的账户——这个复选框对你没有帮助。
不过,我不会玩弄该复选框来诊断/排除其故障;取消选中该框(当其设置时)会导致系统将 pwdlastset 属性更新为当前日期和时间 - 有效地延长当前密码的有效期。
答案2
使用 ADUC GUI 查询任何相关大小的 AD 通常是不切实际的:使用 Powershell 查找密码太旧的帐户可提供整个 OU 甚至整个目录中可操作的输出。
然而,除非你有合同义务强制执行密码过期,否则目前的建议往往遵循NIST 的;强制使用良好且强大的密码,并且除非有证据表明帐户已被泄露,否则不要使用户密码过期。