В настоящее время я сомневаюсь в том, как GPO меняет атрибуты пользователей, зарегистрированных в AD.
У меня есть центр обработки данных Windows Server 2019 и несколько активный пользователи, у которых есть флаг "PASSWD_NOTRQ". Когда я спросил об этом, один из системных администраторов сказал мне, что GPO отменяет этот параметр, и на самом деле эти пользователи не представляют угрозы безопасности. Я извлек этих пользователей с помощью команды CSVDE на сервере.
Как может случиться так, что атрибуты пользователей "отменяются GPO", но когда я их извлекаю, кажется, что у них нет пароля, необходимого для входа в систему?