Suponga lo siguiente:
Un dominio de Windows tiene una política establecida para garantizar que los usuarios deban restablecer sus contraseñas cada 90 días.
Una cuenta de usuario (llamémosle "UsuarioA") cambió su contraseña por última vez hace poco más de 3 meses y, como resultado, se activa esta política para su cuenta, lo que obliga a un cambio de contraseña en el siguiente inicio de sesión.
En este caso, si un administrador de dominio abriera la pestaña "Cuenta" dentro del cuadro de diálogo Propiedades para el Usuario A, ¿se marcaría la casilla de verificación "El usuario debe cambiar la contraseña en el próximo inicio de sesión" o esta configuración dentro de ADUC no se ve afectada por la caducidad de la contraseña del dominio? políticas?
Respuesta1
Esta casilla de verificación en su mayor parte no está relacionada con ninguna política de caducidad de contraseña. El efecto de marcar esa casilla es establecer el atributo pwdlastset en 0; cualefectivamenteLa contraseña caduca manualmente y, en consecuencia, requiere un cambio de contraseña inmediato.
Esto no se puede realizar en una cuenta que esté configurada (en la cuenta, no mediante política) para que nunca caduque.
Si un administrador marcó la casilla o utilizó Powershell para realizar una tarea similar ( Set-AdUser -ChangePasswordAtLogon $true) u otra herramienta, y otro administrador abre las propiedades de la cuenta antes de cambiar la contraseña, la casilla aparecerá marcada para el otro administrador. Básicamente, sólo aparece marcado cuando el atributo es 0 o -1.
Para responder más directamente a la pregunta que creo que está haciendo: no, esa casilla de verificación no refleja una evaluación dinámica de la fecha en que se estableció la contraseña por última vez, la política de contraseñas del dominio, una política de seguridad local en el DC y cualquier multa. Política de contraseña detallada a la que está sujeta la cuenta: es única y simplemente una herramienta para caducar manualmente una contraseña o para informarle que alguien ha caducado manualmente la contraseña.
No estoy seguro de cuál es el motivo detrás de la pregunta, pero si es para buscar cuentas con contraseñas vencidas, esta casilla de verificación no le ayudará.
Sin embargo, no jugaría con esa casilla de verificación en un esfuerzo por diagnosticar/solucionar problemas de lo que hace; Desmarcar esa casilla (cuando está configurada) hace que el sistema actualice el atributo pwdlastset a la fecha y hora actuales, extendiendo efectivamente la vida útil de la contraseña actual.
Respuesta2
Por lo general, no es práctico usar la GUI de ADUC para consultar un AD de cualquier tamaño relevante: el uso de Powershell para encontrar cuentas cuyas contraseñas son demasiado antiguas proporciona resultados procesables en unidades organizativas enteras o incluso en todo el directorio.
Sin embargo, a menos que tenga obligaciones contractuales para hacer cumplir la caducidad de la contraseña, las recomendaciones actuales tienden a seguirlos del NIST; hacer cumplir contraseñas buenas y seguras, y no caducar las contraseñas de los usuarios a menos que haya evidencia de que una cuenta ha sido comprometida.