Suponha o seguinte:
Um domínio do Windows tem uma política definida para garantir que os usuários redefinam suas senhas a cada 90 dias
Uma conta de usuário (vamos nos referir a ela como "UserA") alterou sua senha pela última vez há pouco mais de 3 meses e, como resultado, esta política foi acionada para sua conta - forçando uma alteração de senha no próximo login
Nesse caso, se um administrador de domínio abrisse a guia "Conta" na caixa de diálogo Propriedades do Usuário A, a caixa de seleção "O usuário deve alterar a senha no próximo login" estaria marcada - ou essa configuração no ADUC não seria afetada pela expiração da senha do domínio políticas?
Responder1
Esta caixa de seleção não está relacionada a nenhuma política de expiração de senha. O efeito de marcar essa caixa é definir o atributo pwdlastset como 0; qualefetivamenteexpira manualmente uma senha e, portanto, requer uma alteração imediata da senha.
Isso não pode ser realizado em uma conta configurada (na conta, não por meio de política) para nunca expirar.
Se um administrador tiver marcado a caixa ou usado o Powershell para executar uma tarefa semelhante ( Set-AdUser -ChangePasswordAtLogon $true) ou outra ferramenta, e outro administrador abrir as propriedades da conta antes de a senha ser alterada, a caixa aparecerá marcada para o outro administrador. Essencialmente, só aparece marcado quando o atributo é 0 ou -1.
Para responder mais diretamente à pergunta que acho que você está perguntando: não, essa caixa de seleção não reflete uma avaliação dinâmica da data em que a senha foi definida pela última vez, a política de senha do domínio, uma política de segurança local no DC e qualquer multa. Política de senha granulada à qual a conta está sujeita - é apenas e simplesmente uma ferramenta para expirar manualmente uma senha ou para informar que alguém expirou manualmente a senha.
Não tenho certeza de qual é a motivação por trás da pergunta, mas se for para procurar contas com senhas expiradas - esta caixa de seleção não irá ajudá-lo.
Eu não brincaria com essa caixa de seleção em um esforço para diagnosticar/solucionar problemas do que ela faz; desmarcar essa caixa (quando estiver definida) faz com que o sistema atualize o atributo pwdlastset para a data e hora atuais - estendendo efetivamente a vida útil da senha atual.
Responder2
Geralmente é impraticável usar a GUI do ADUC para consultar um AD de qualquer tamanho relevante: usar o Powershell para localizar contas cujas senhas são muito antigas fornece resultados acionáveis em unidades organizacionais inteiras ou até mesmo em todo o diretório.
No entanto, a menos que você tenha obrigações contratuais para impor a expiração da senha, as recomendações atuais tendem a seguiros do NIST; para impor senhas boas e fortes e para não expirar as senhas dos usuários, a menos que haja evidências de que uma conta foi comprometida.