Предположим следующее:
В домене Windows установлена политика, обязывающая пользователей сбрасывать пароли каждые 90 дней.
Учетная запись пользователя (назовем ее «ПользовательА») последний раз меняла свой пароль чуть более 3 месяцев назад, и в результате для ее учетной записи срабатывает эта политика — принудительная смена пароля при следующем входе в систему.
В этом случае, если администратор домена откроет вкладку «Учетная запись» в диалоговом окне «Свойства» для пользователя UserA, будет ли установлен флажок «Пользователь должен сменить пароль при следующем входе в систему» — или эта настройка в ADUC не затрагивается политиками истечения срока действия пароля домена?
решение1
Этот флажок в основном не связан с какой-либо политикой истечения срока действия пароля. Эффект от установки этого флажка заключается в установке атрибута pwdlastset на 0; чтоэффективновручную прекращает действие пароля и, соответственно, требует немедленной смены пароля.
Это невозможно сделать для учетной записи, которая настроена (в учетной записи, а не через политику) так, чтобы срок ее действия не истекал.
Если администратор установил флажок или использовал Powershell для выполнения аналогичной задачи ( Set-AdUser -ChangePasswordAtLogon $true) или другой инструмент, а другой администратор открывает свойства учетной записи до смены пароля, флажок будет отображаться как отмеченный для другого администратора. По сути, он отображается как отмеченный только тогда, когда атрибут равен 0 или -1.
Если отвечать на вопрос, который вы, по-моему, задаете, более прямо: нет, этот флажок не отражает динамическую оценку даты последней установки пароля, политики паролей домена, локальной политики безопасности на контроллере домена и любой детальной политики паролей, которой подчиняется учетная запись. Это всего лишь инструмент для ручного истечения срока действия пароля или для сообщения вам о том, что кто-то вручную истечет срок действия пароля.
Я не уверен, какова мотивация вопроса, но если речь идет о поиске учетных записей с истекающим сроком действия паролей, то этот флажок вам не поможет.
Однако я бы не стал экспериментировать с этим флажком в попытке диагностировать/устранить неполадки, связанные с его работой; снятие флажка (если он установлен) заставляет систему обновить атрибут pwdlastset до текущей даты и времени, что фактически продлевает срок действия текущего пароля.
решение2
Обычно нецелесообразно использовать графический интерфейс пользователя ADUC для запроса AD любого соответствующего размера: использование Powershell для поиска учетных записей со слишком старыми паролями обеспечивает получение значимых результатов по всем подразделениям или даже по всему каталогу.
Однако, если у вас нет договорных обязательств по обеспечению истечения срока действия пароля, текущие рекомендации, как правило, следуютте из NIST; обеспечивать использование надежных и хороших паролей, а также не прекращать действие паролей пользователей, если только нет доказательств того, что учетная запись была скомпрометирована.