我们有一个 VPN,如果用户有密码更改待处理,则不允许用户连接。有时这些用户会忘记密码,或者需要重置密码。在这种情况下,使用“用户必须在下次登录时更改密码”设置临时密码不起作用,因为 VPN 会阻止他们登录。
一种解决方案是取消选中此字段并告诉用户手动更改密码,但这违反了我们的密码策略,该策略要求用户在两次更改密码之间等待一天。这是不安全的(而且看起来不太好)。有没有办法暂时绕过一个用户的最低密码年龄要求?如果是 PowerShell 命令,那就更好了,但我接受任何方法。
答案1
最短密码使用期限 (minPwdAge 或 msDS-MinimumPasswordAge) 不是用户帐户的属性,而是域本身的属性。更改它将影响域的所有用户。您可以在默认命名上下文中右键单击域的根目录,在 ADSI 编辑器中查看该属性。
也就是说,您可以使用密码设置对象覆盖它。
http://technet.microsoft.com/en-us/library/cc754461(v=ws.10).aspx
Attribute Name Description Acceptable Values
msDS-MinimumPasswordAge Minimum Password Age for user accounts - None
- 00:00:00:00 through msDS-MaximumPasswordAge