Existe uma maneira no Windows Server 2003 ou 2008 e no Active Directory de especificar em uma política que, quando a senha de um usuário expirar naquele dia, ela expire em um determinado horário, digamos 4h.
O problema surgiu porque o vencimento ocorre no meio do dia útil, digamos às 9h. Então, quando um usuário já estiver logado no Windows na rede e usando aplicativos diferentes, eles começarão a se comportar de maneira errada por causa da autenticação. Eles precisam sair e fazer login novamente para que o Windows solicite a nova senha.
Assim, se ao fazer login no início da manhã for solicitada a nova senha, eles não precisarão se desconectar novamente durante a jornada de trabalho.
Um dos administradores do AD disse: "Peça para eles verificarem se a senha deles irá expirar antes de começar o dia".. mas sério, quem faz isso?
E não tenho acesso a um AD para verificar esse tipo de política. Então, isso é possível?
Responder1
AFAIK isso não é possível.
Existem várias notificações de lembrete que podem ocorrer informando que a senha atual irá expirar em N dias e oferecendo a opção de alterá-la. Se o usuário optar por ignorar esse lembrete, infelizmente ele estará cavando sua própria cova.
Responder2
Temos um problema semelhante.
A única maneira que consigo pensar é executar um script todas as noites que passará pelo diretório ativo e identificará qual conta expirará no dia seguinte. Se isso acontecer, sinalize-o para alterar a senha. O código seria parecido com o seguinte; Eu não tentei executar este script, então pode precisar de alguns ajustes:
Const SEC_IN_DAY = 86400
Const ADS_UF_DONT_EXPIRE_PASSWD = &h10000
Const ADS_SCOPE_SUBTREE = 1000
dim strname
dim strdist
dim dtmvalue
on error resume next
Set objConnection = CreateObject("ADODB.Connection")
Set objCommand = CreateObject("ADODB.Command")
objConnection.Provider = "ADsDSOObject"
objConnection.Open "Active Directory Provider"
Set objCommand.ActiveConnection = objConnection
objCommand.Properties("Page Size") = 1000
objCommand.Properties("Searchscope") = ADS_SCOPE_SUBTREE
objCommand.CommandText = "SELECT distinguishedName, profilepath, name from 'LDAP://dc=Example,dc=com' where objectCategory = 'User'"
Set objuserRecordSet = objCommand.Execute
objUSerRecordSet.MoveFirst
Do Until objuserRecordSet.EOF
strdist = objuserRecordSet.Fields("distinguishedName").Value
strname = objuserRecordSet.Fields("name").Value
Set objUserLDAP = GetObject _
("LDAP://" & strdist)
intCurrentValue = objUserLDAP.Get("userAccountControl")
dtmValue = objUserLDAP.PasswordLastChanged
If intCurrentValue and ADS_UF_DONT_EXPIRE_PASSWD Then
x = "The password does not expire."
Else
Set objDomainNT = GetObject("WinNT://escc.gov.uk")
intMaxPwdAge = objDomainNT.Get("MaxPasswordAge")
If intMaxPwdAge < 0 Then
x = "Password does not expire"
Else
intMaxPwdAge=intMaxPwdAge/86400
strold = ((dtmValue + intMaxPwdAge)-now)
if strold < 2 and strold > 0 then
objUserLDAP.pwdLastSet = 0
objUserLDAP.SetInfo
end if
end if
End If
dtmValue= ""
objuserrecordset.movenext
Loop