Кажется, есть тонкая разница между учетной записью домена, в которой установлен флажок «принудительно изменить пароль», и учетной записью, у которой просто истек пароль (скажем, через 90 дней).
Есть ли способ имитировать / заставить учетную запись «истечь», кроме изменения политики и воздействия на все учетные записи? Есть ли различия в зависимости от функционального уровня домена?
Вы можете установить для атрибута pwdlastset пользователя определенную дату / время, что приведет к его истечению. Вы можете сделать это с помощью powershell, wsh, vbs, ... Однако обратите внимание, что формат поля Целое 8
В обоих случаях пароль необходимо изменить, но разница в том, что по истечении срока действия пароля он больше не может использоваться для аутентификации, в то время как пароль, требующий изменения, остается действительным. Как вы говорите, это тонко.
Для тестирования я бы предложил создать новую политику, которая будет применяться только к тестовой учетной записи, и установить период истечения срока действия на достаточно короткий, чтобы быть полезным для этого тестирования.
Конечный результат тот же, пароли для пользователя должны быть изменены.
Вы можете использовать сценарий PowerShell, чтобы изменить настройки для всех пользователей в домене.
По функциональному уровню отличий нет. Функциональный уровень только сообщает домену, какая версия контроллеров домена может быть в домене.