假设如下:
Windows 域设置了一个策略,以确保用户必须每 90 天重置一次密码
一个用户帐户(我们将其称为“UserA”)最后一次更改密码是在 3 个多月前,因此会为他们的帐户触发此策略 - 强制在下次登录时更改密码
在这种情况下,如果域管理员要在 UserA 的“属性”对话框中打开“帐户”选项卡,是否会勾选“用户下次登录时必须更改密码”复选框 - 或者 ADUC 中的此设置不受域密码到期的影响政策?
AskOverflow.Dev
使用 ADUC GUI 查询任何相关大小的 AD 通常是不切实际的:使用 Powershell 查找密码太旧的帐户可提供跨整个 OU 甚至整个目录的可操作输出。
但是,除非您有强制密码到期的合同义务,否则当前的建议倾向于遵循NIST的建议;强制使用良好和强大的密码,并且不会使用户密码过期,除非有证据表明帐户已被盗用。
此复选框与任何密码过期策略几乎无关。选中该框的效果是将 pwdlastset 属性设置为 0;这实际上是手动使密码过期,因此需要立即更改密码。
这不能在配置为永不过期的帐户(在帐户上,而不是通过策略)上执行。
如果管理员已选中该框,或使用 Powershell 执行类似任务 (
Set-AdUser -ChangePasswordAtLogon $true) 或其他工具,并且另一个管理员在更改密码之前打开了帐户属性,则该框将显示为其他管理员已选中。本质上,它仅在属性为 0 或 -1 时才显示为选中状态。为了更直接地回答我认为您要问的问题:不,该复选框不反映对上次设置密码的日期、域的密码策略、DC 上的本地安全策略以及任何 Fine-帐户所受的细粒度密码策略 - 它只是手动使密码过期或告诉您有人手动使密码过期的工具。
我不确定问题背后的动机是什么,但如果要查找密码过期的帐户 - 此复选框对您没有帮助。
尽管为了诊断/排除它的作用,我不会使用该复选框;取消选中该框(当其设置时)会导致系统将 pwdlastset 属性更新为当前日期和时间——有效地延长了当前密码的寿命。