次のように仮定します。
Windowsドメインには、ユーザーが90日ごとにパスワードをリセットする必要があるようにポリシーが設定されています。
ユーザーアカウント(「UserA」と呼びます)が最後にパスワードを変更したのは3か月ほど前で、その結果、このポリシーがアカウントに対してトリガーされ、次回のログイン時にパスワードの変更が強制されます。
この場合、ドメイン管理者が UserA のプロパティ ダイアログ内の「アカウント」タブを開いた場合、「ユーザーは次回ログイン時にパスワードを変更する必要があります」チェックボックスがオンになりますか? それとも、ADUC 内のこの設定はドメイン パスワードの有効期限ポリシーの影響を受けないのでしょうか?
答え1
このチェックボックスは、パスワードの有効期限ポリシーとはほとんど関係ありません。このチェックボックスをオンにすると、pwdlastset属性が0に設定されます。効果的にパスワードを手動で期限切れにし、それに応じて即時のパスワード変更を要求します。
これは、期限切れにならないように設定されているアカウント (ポリシーではなくアカウント上) では実行できません。
管理者がボックスをチェックした場合、または Powershell を使用して同様のタスク ( Set-AdUser -ChangePasswordAtLogon $true) または別のツールを実行した場合、パスワードが変更される前に別の管理者がアカウントのプロパティを開くと、その管理者に対してボックスがチェックされた状態で表示されます。基本的に、属性が 0 または -1 の場合にのみチェックされた状態で表示されます。
あなたが尋ねていると思われる質問にもっと直接答えると、いいえ、そのチェックボックスは、パスワードが最後に設定された日付、ドメインのパスワード ポリシー、DC 上のローカル セキュリティ ポリシー、およびアカウントが適用されるきめ細かいパスワード ポリシーの動的な評価を反映するものではありません。これは、パスワードを手動で期限切れにするため、または誰かがパスワードを手動で期限切れにしたことを通知するためのツールにすぎません。
この質問の背後にある動機が何なのかはわかりませんが、期限切れのパスワードを持つアカウントを探すことが目的であれば、このチェックボックスは役に立ちません。
ただし、そのチェックボックスを操作して、その機能の診断やトラブルシューティングを行うつもりはありません。そのボックスのチェックを外すと (チェックされている場合)、システムは pwdlastset 属性を現在の日付と時刻に更新し、実質的に現在のパスワードの有効期間を延長します。
答え2
通常、ADUC GUI を使用して関連するサイズの AD をクエリすることは現実的ではありません。Powershell を使用してパスワードが古すぎるアカウントを検索すると、OU 全体またはディレクトリ全体にわたって実用的な出力が得られます。
ただし、パスワードの有効期限を強制する契約上の義務がない限り、現在の推奨事項は以下に従う傾向があります。NISTのもの; 適切かつ強力なパスワードを強制し、アカウントが侵害されたという証拠がない限り、ユーザーのパスワードを期限切れにしないようにします。