主页 / server / 问题 / 52482
Accepted
Carl C
Asked: 2009-08-11 14:16:12 +0800 CST

Active Directory 密码已过期。如果我将其设置为永不过期,用户可以保留相同的密码吗?

  • 772

我们的一位用户目前在海外,她的 Active Directory 域密码已过期。她使用缓存凭据和(非 AD 集成)VPN 使用笔记本电脑登录,但无法使用过期密码登录文件共享或 Outlook。如果我更改密码,我担心它会为她的笔记本电脑创建缓存登录问题,而当她在八个时区之外时,我将无法解决这个问题。表示她必须更改密码的标志已经设置。如果我将她的密码设置为永不过期,这是否会阻止她更改密码,或者无论我做什么,她都必须更改密码?

此处的一个类似问题表明将帐户设置为永不过期会起作用,但我需要一些确认。

编辑:密码永不过期设置只有在她返回办公室之前才会生效。我只是想在她不在的时候让她回到系统中,而不会让问题变得更糟。

最终编辑:设置“永不过期”标志修复了问题。用户将保留她现有的密码,直到她下周返回。

windows active-directory password

5 个回答

  1. Best Answer

    是的,我已经做过很多次了。如果密码已经过期,选中“密码永不过期”复选框将使密码失效,直到用户位于具有 DC 的站点上。

    • 8

  2. 如您所说,要保留旧的过期密码,只需使用管理控制台将其重置并将其设置为永不过期。我不会详细说明我们大多数人不会这样做的所有原因,因为我假设你有自己的理由去做你所做的事情。

    • 2

  3. 虽然不是直接回答您的问题。这是您在用户使用 vpn 时处理缓存凭据不同步的方式。

    继续为她重置密码 - 但不要在下次登录时强制更改。让她使用当前缓存的凭据登录笔记本电脑,然后通过 VPN 进入您的网络。一旦她进入 VPN,让她锁定计算机,然后使用新凭据解锁计算机。这将更新本地缓存并允许她使用新密码登录机器,并让您不要设置密码永不过期标志。她可以继续使用该密码,直到它像往常一样过期。

    • 1

  4. 我的经验是,一旦它要求您更改密码,您必须更改它。一旦更改,我认为您可以* 将其更改回来,几乎没有问题。但你可能想在和她一起尝试之前先测试一下。

    是的,一旦她再次好起来,您可能需要考虑设置永不过期标志。

    • 0

  5. 以下代码可用于查找密码过期的原因。

    它最初是从MSDN 博客上的 Active Directory Powershell 博客复制和粘贴的。

        function Get-XADUserPasswordExpirationDate() {
      Param ([Parameter(Mandatory=$true,  Position=0,  ValueFromPipeline=$true, HelpMessage="Identity of the Account")]
      [Object] $accountIdentity)

      PROCESS {
        $accountObj = Get-ADUser $accountIdentity -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet

        if ($accountObj.PasswordExpired) {
            echo ("Password of account: " + $accountObj.Name + " already expired!")
        } else { 

            if ($accountObj.PasswordNeverExpires) {
                echo ("Password of account: " + $accountObj.Name + " is set to never expires!")
            } else {
                $passwordSetDate = $accountObj.PasswordLastSet

                if ($passwordSetDate -eq $null) {
                    echo ("Password of account: " + $accountObj.Name + " has never been set!")
                }  else {
                    $maxPasswordAgeTimeSpan = $null
                    $dfl = (get-addomain).DomainMode

                    if ($dfl -ge 3) { 
                        ## Greater than Windows2008 domain functional level
                        $accountFGPP = Get-ADUserResultantPasswordPolicy $accountObj

                        if ($accountFGPP -ne $null) {
                            $maxPasswordAgeTimeSpan = $accountFGPP.MaxPasswordAge
                        } else {
                            $maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
                        }
                    } else {
                        $maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
                    }

                    if ($maxPasswordAgeTimeSpan -eq $null -or $maxPasswordAgeTimeSpan.TotalMilliseconds -eq 0) {
                        echo ("MaxPasswordAge is not set for the domain or is set to zero!")
                    } else {
                        echo ("Password of account: " + $accountObj.Name + " expires on: " + ($passwordSetDate + $maxPasswordAgeTimeSpan))
                    }
                }
            }
        }
    }
}
    • 0

相关问题