У нас есть несколько пользователей, которые работают удаленно (вне домена), и, прежде чем я установил возраст (и сложность) пароля в нашей AD, я подумал, хранится ли возраст пароля локально вместе с данными для входа. Последнее, чего я хочу, - это навредить нашим удаленным пользователям.
Я не могу найти ничего, что предполагало бы, что он кеширует это локально (на мой взгляд, это действительно не имеет смысла), но в равной степени я не могу найти ничего, что предполагает, что это не так.
Может ли кто-нибудь заявить за меня категорически свою позицию?
Ура.
Я могу подтвердить на собственном опыте (работая без подключения к домену), что истечение срока действия не влияет на кэшированные учетные данные.
Обычно, когда срок действия пароля истекает, мне нужно вводить новый, например, в Outlook или OWA, но при входе в Windows на ноутбуке я бы использовал старый (просроченный) пароль.
Обратите внимание, что даже если вы можете войти в саму Windows, у некоторых приложений могут возникнуть проблемы с просроченными паролями. Outlook запрашивает, но другие приложения не могут. Например, SSRS перестает работать после истечения срока действия пароля, потому что приложение хостинга просто передает (просроченные) учетные данные Windows без последующего запроса, если они не работают.
[РЕДАКТИРОВАТЬ]: этот ответ основан на заблуждении. Вместо этого см. Ответ Марка Соуулса.
Если вы установите срок действия пароля в политике домена, подключите компьютер так, чтобы он принимал политику, измените пароль вошедшего в систему пользователя и отключите компьютер от сайта, вы обнаружите, что срок действия пароля истекает по истечении указанного срока. Он по-прежнему будет выдавать обычное уведомление об истечении срока действия пароля.
Вы по-прежнему сможете изменить пароль локально, тогда он будет рассинхронизирован с учетной записью домена, срок действия пароля которой истечет.
Это можно (в основном) смягчить, войдя на подключенный к домену терминальный сервер через vpn и изменив пароль пользователя домена на то, что вы установили на локальном компьютере (до истечения срока действия).
Или попросите пользователя посетить офисную сеть для правильной синхронизации, которую они часто не могут сделать вовремя :-)
Правильное обучение пользователей является ключом к минимизации обращений за поддержкой.
Вы не можете изменить свой пароль при отключении от сети, поэтому нет смысла хранить этот пароль локально. Если пользователь попытается изменить свой пароль, он увидит сообщение об ошибке, поскольку он должен связаться с контроллером домена для выполнения изменения.
Кроме того, в активном каталоге нет фактического объекта с «максимальным возрастом», поскольку он является глобальным, так что дальнейшее указывает на то, что он никоим образом не хранится локально.