假設如下:
Windows 網域設定了政策以確保使用者必須每 90 天重設一次密碼
使用者帳戶(我們稱之為“UserA”)最後一次更改密碼是在 3 個多月前,因此他們的帳戶觸發了此策略 - 強制在下次登入時更改密碼
在這種情況下,如果網域管理員要開啟UserA 的「屬性」對話方塊中的「帳戶」選項卡,是否會勾選「使用者下次登入時必須變更密碼」複選框- 或ADUC 中的此設定是否不受域密碼過期的影響政策?
答案1
此複選框大多與任何密碼過期策略無關。選取該方塊的效果是將 pwdlastset 屬性設為 0;哪個有效地手動使密碼過期,因此需要立即更改密碼。
無法在配置為永不過期(在帳戶上,而不是透過政策)的帳戶上執行此操作。
如果管理員已選取該框,或使用 Powershell 執行類似任務 ( Set-AdUser -ChangePasswordAtLogon $true) 或其他工具,且另一個管理員在變更密碼之前開啟帳戶屬性,則該方塊將顯示為該其他管理員已選取。本質上,只有當屬性為 0 或 -1 時,它才會顯示為選取。
為了更直接地回答我認為您要問的問題:不,該複選框不反映對上次設定密碼的日期、網域的密碼策略、DC 上的本機安全性原則以及任何細項的動態評估帳戶所遵循的粒度密碼策略- 它只是一個手動使密碼過期的工具,或告訴您有人已手動使密碼過期。
我不確定這個問題背後的動機是什麼,但如果是要查找密碼過期的帳戶 - 此複選框對您沒有幫助。
不過,我不會為了診斷/排除它的作用而使用該複選框;取消選取該方塊(當其設定時)會導致系統將 pwdlastset 屬性更新為目前日期和時間 - 有效延長目前密碼的壽命。
答案2
使用 ADUC GUI 查詢任何相關大小的 AD 通常是不切實際的:使用 Powershell 來尋找密碼太舊的帳戶可以提供整個 OU 甚至整個目錄的可操作輸出。
但是,除非您有強制密碼過期的合約義務,否則通常會遵循當前的建議NIST 的;強制執行良好且強的密碼,並且不要使用戶密碼過期,除非有證據表明帳戶已洩露。