Gehen Sie von Folgendem aus:
In einer Windows-Domäne ist eine Richtlinie festgelegt, die sicherstellt, dass Benutzer ihre Passwörter alle 90 Tage zurücksetzen müssen.
Ein Benutzerkonto (nennen wir es „BenutzerA“) hat sein Passwort zuletzt vor etwas mehr als 3 Monaten geändert, und daher wird diese Richtlinie für sein Konto ausgelöst – sie erzwingt eine Passwortänderung bei der nächsten Anmeldung.
Wenn in diesem Fall ein Domänenadministrator die Registerkarte „Konto“ im Eigenschaftendialogfeld für BenutzerA öffnen würde, wäre dann das Kontrollkästchen „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“ aktiviert – oder ist diese Einstellung in ADUC nicht von den Richtlinien zum Ablauf von Domänenkennwörtern betroffen?
Antwort1
Dieses Kontrollkästchen hat im Wesentlichen nichts mit der Ablaufrichtlinie für Passwörter zu tun. Wenn Sie dieses Kontrollkästchen aktivieren, wird das Attribut pwdlastset auf 0 gesetzt. Dieseffektivlässt ein Passwort manuell ablaufen und erfordert dementsprechend eine sofortige Passwortänderung.
Dies kann nicht für ein Konto ausgeführt werden, das (auf dem Konto, nicht über die Richtlinie) so konfiguriert ist, dass es nie abläuft.
Wenn ein Administrator das Kontrollkästchen aktiviert hat oder Powershell ( Set-AdUser -ChangePasswordAtLogon $true) oder ein anderes Tool verwendet hat, um eine ähnliche Aufgabe auszuführen, und ein anderer Administrator die Kontoeigenschaften öffnet, bevor das Kennwort geändert wird, wird das Kontrollkästchen für den anderen Administrator aktiviert angezeigt. Im Wesentlichen wird es nur aktiviert angezeigt, wenn das Attribut entweder 0 oder -1 ist.
Um die Frage, die Sie, glaube ich, stellen, direkter zu beantworten: Nein, dieses Kontrollkästchen spiegelt keine dynamische Auswertung des Datums der letzten Kennwortfestlegung, der Kennwortrichtlinie der Domäne, einer lokalen Sicherheitsrichtlinie auf dem Domänencontroller und etwaiger detaillierter Kennwortrichtlinien wider, denen das Konto unterliegt. Es handelt sich lediglich um ein Tool, um ein Kennwort manuell ablaufen zu lassen oder um Sie darüber zu informieren, dass jemand das Kennwort manuell abgelaufen hat lassen.
Ich bin nicht sicher, was der Grund für diese Frage ist, aber wenn es darum geht, nach Konten zu suchen, deren Passwörter ablaufen, wird Ihnen dieses Kontrollkästchen nicht helfen.
Ich würde allerdings nicht mit diesem Kontrollkästchen herumspielen, um zu diagnostizieren/Fehler zu beheben, was es bewirkt. Wenn das Kontrollkästchen deaktiviert wird (wenn es aktiviert ist), aktualisiert das System das Attribut „pwdlastset“ auf das aktuelle Datum und die aktuelle Uhrzeit – wodurch die Gültigkeit des aktuellen Kennworts effektiv verlängert wird.
Antwort2
Normalerweise ist es unpraktisch, die ADUC-GUI zum Abfragen eines AD von relevanter Größe zu verwenden: Die Verwendung von Powershell zum Suchen von Konten, deren Passwörter zu alt sind, liefert umsetzbare Ausgaben für ganze Organisationseinheiten oder sogar das gesamte Verzeichnis.
Sofern Sie jedoch nicht vertraglich verpflichtet sind, das Ablaufdatum Ihres Passworts durchzusetzen, folgen die aktuellen Empfehlungen in der Regeldie von NIST; gute und sichere Passwörter durchzusetzen und Benutzerpasswörter nicht ablaufen zu lassen, es sei denn, es gibt Beweise dafür, dass ein Konto kompromittiert wurde.