다음을 가정합니다.
Windows 도메인에는 사용자가 90일마다 비밀번호를 재설정해야 한다는 정책이 설정되어 있습니다.
사용자 계정("UserA"라고 함)이 비밀번호를 마지막으로 변경한 지 3개월이 넘었고, 그 결과 해당 계정에 대해 이 정책이 실행되어 다음 로그인 시 비밀번호가 강제로 변경됩니다.
이 경우 도메인 관리자가 UserA의 속성 대화 상자에서 "계정" 탭을 열면 "다음 로그인 시 사용자가 비밀번호를 변경해야 합니다" 확인란이 선택되어 있습니까? 아니면 ADUC 내의 이 설정이 도메인 비밀번호 만료의 영향을 받지 않습니까? 정책?
답변1
이 확인란은 대부분 비밀번호 만료 정책과 관련이 없습니다. 해당 상자를 선택하면 pwdlastset 속성이 0으로 설정됩니다. 어느효과적으로수동으로 비밀번호를 만료시키므로 즉시 비밀번호를 변경해야 합니다.
만료되지 않도록 구성된(정책을 통하지 않고 계정에서) 계정에서는 이 작업을 수행할 수 없습니다.
관리자가 확인란을 선택했거나 Powershell을 사용하여 유사한 작업( Set-AdUser -ChangePasswordAtLogon $true) 또는 다른 도구를 수행한 후 비밀번호가 변경되기 전에 다른 관리자가 계정 속성을 열면 해당 확인란이 다른 관리자에게 선택된 것으로 나타납니다. 기본적으로 속성이 0 또는 -1인 경우에만 선택된 것으로 나타납니다.
귀하가 묻는 질문에 더 직접적으로 대답하려면: 아니요, 해당 확인란은 암호가 마지막으로 설정된 날짜, 도메인의 암호 정책, DC의 로컬 보안 정책 및 기타 세부 사항에 대한 동적 평가를 반영하지 않습니다. 계정에 적용되는 세분화된 비밀번호 정책 - 이는 비밀번호를 수동으로 만료하거나 누군가가 비밀번호를 수동으로 만료했음을 알리는 도구일 뿐입니다.
질문의 동기가 무엇인지는 확실하지 않지만, 비밀번호가 만료된 계정을 찾는 것이라면 이 확인란이 도움이 되지 않습니다.
나는 그것이 하는 일을 진단하거나 문제를 해결하기 위한 노력의 일환으로 해당 확인란을 사용하지 않을 것입니다. 해당 상자를 선택 취소하면(설정된 경우) 시스템이 pwdlastset 속성을 현재 날짜 및 시간으로 업데이트하여 현재 비밀번호의 수명을 효과적으로 연장합니다.
답변2
일반적으로 ADUC GUI를 사용하여 관련 크기의 AD를 쿼리하는 것은 비실용적입니다. Powershell을 사용하여 암호가 너무 오래된 계정을 찾으면 전체 OU 또는 전체 디렉터리에 걸쳐 실행 가능한 출력이 제공됩니다.
그러나 비밀번호 만료를 강제해야 하는 계약상 의무가 없는 한 현재 권장 사항을 따르는 경향이 있습니다.NIST의 것; 좋고 강력한 비밀번호를 적용하고, 계정이 손상되었다는 증거가 없는 한 사용자 비밀번호가 만료되지 않도록 합니다.