Em um ambiente com uma configuração de anúncio "local" em desktops conectados diretamente, além de ter um AD azul com uma conexão entre os dois ADs, o write-back de senha não deve ser habilitado.
Dentro deste ambiente também há computadores aos quais o anúncio híbrido do Azure se juntou apenas com uma ligação VPN à rede do AD "local" para acesso ao servidor de ficheiros, etc. Isto impediria que os utilizadores destes dispositivos pudessem redefinir a sua palavra-passe, uma vez que o write-back não está ativado.
Existe uma maneira de redefinir as senhas dos usuários nesta configuração? Eu me perguntei se as System.DirectoryServices.DirectoryEntry/ classes internas, DirectorySearchercomo vi, você pode "invocar" métodos em DirectoryEntrys e de.Invoke("setPassword", $pwd)aparentemente definiria a senha para o "de" que foi recuperado por um caminho LDAP encontrado usando DirectorySearcher que parece encontrar Atributos do AD, como "memberOf", que não são encontrados no anúncio do Azure, o que me leva a acreditar que a redefinição de uma senha dessa maneira faria isso diretamente no AD local, funcionando quando a VPN para a rede do AD local estiver ativa e precisaria ser feito de uma conta com permissão para redefinir senhas de usuários de anúncios.