是否可以將活動目錄中的密碼歷史記錄重設到特定時間點?
例如,我想保留 2009 年 3 月 1 日之後而不是 2009 年 3 月 1 日之前更改的密碼歷史記錄?
感謝幫助。
答案1
我不知道有什麼方法可以將密碼歷史記錄重置到設定的時間點。我認為(但不確定)如果您更改策略以儲存最後三個密碼,那麼它會保留最後三個密碼,但會丟棄較早的密碼。如果您大致知道密碼需要更改的頻率,例如,如果政策要求每 30 天更改一次,您可以使用它來將密碼歷史記錄重設為大致的時間點。
JR
答案2
產品中沒有內建功能可以滿足您的要求。我假設您指的是“強制執行密碼歷史記錄”功能,並且您建議您希望“追溯”開始“強制執行密碼歷史記錄”策略,從您設定的密碼開始。
如果這一天是在過去 60 天內(預設情況下,除非您更改了 AD 中的邏輯刪除生命週期),則可以從執行備份的目錄(或整個)目錄的子樹執行權威還原有問題的日期,然後在當時開啟「強制密碼歷史記錄」功能。由於您提到的日期已超過 60 天,因此您無法在預設情況下恢復該期限的備份。
即使您確實在允許的恢復視窗內有一個日期,我也不建議這樣做。首先,您將遺失在還原日期和目前日期之間對還原的物件所做的所有變更。其次,恢復 AD 並不是一個我會輕易參與的過程。我以前在實驗室裡做過很多次,幸運的是,在生產中只做過幾次。每次,在生產場景中,確保您所做的正是您想要的事情都有點「緊張」(因為當市場權威時,您所做的任何更改都將複製到網域中的所有 DC)和全局編錄複製集)。我僅建議客戶在最後可能的選擇時執行 AD 恢復。