大家好,提前谢谢大家。如果我的问题结构不正确,请见谅,这是我第一次提问,而不是潜水:
- 我有一个使用 dirsync 的混合本地/azureAd 环境
- 笔记本电脑配有本地管理员帐户,且 psswd 设置为“永不过期”
- 用户通过 OOBE 并加入 azureAD
此后,“管理员”帐户被禁用-默认的windows10行为,确定。
这是我的问题 - 额外的本地管理员将“用户必须在下次登录时更改密码”标志设置为 true。
如果您在 OOBE 之前使用审核模式登录或使用本地“离线”帐户完成 OOBE,则不会发生这种情况。
我无论如何也找不到这个功能是在域策略中被推行的。
我认为 Rsop / GpResult 没什么用...
答案1
这是默认和预期的行为。您应避免将本地管理员刻录到映像中或为其配置永久静态密码。
由于您处于混合模式,并且根据最佳实践,请考虑实施 LAPS(https://techcommunity.microsoft.com/t5/itops-talk-blog/step-by-step-guide-how-to-configure-microsoft-local/ba-p/2806185) 在您的本地 Windows Server Active Directory 上,可以定期更新和维护您本地 Windows Server Active Directory 的本地管理员密码。