Назад | Перейти на главную страницу

Active Directory вручную сбрасывает срок действия пароля

Меня попросили создать следующий сценарий одноразового пароля для нашего (небольшого) домена Active Directory: всякий раз, когда администратор должен вручную сбросить пароль пользователя, пароль должен быть только временным, то есть пользователь должен изменить его на вход в систему, и его срок действия должен быть только 24 часа. Если пользователь не войдет в систему и не изменит свой пароль в течение 24 часов, учетная запись должна быть автоматически деактивирована.

Я изучал различные способы сделать это, в том числе с помощью запланированного сценария Powershell, но я не могу найти ничего, что позволило бы реализовать этот сценарий.

Возможно ли такое вообще в AD? Если да, то как я могу это реализовать?

Вам нужно будет проверить метаданные атрибута репликации для даты и времени изменения в pwdLastSet для учетных записей с pwdLastSet == 0.

LastOriginatingChangeTime метаданных атрибута репликации pwdLastSet может использоваться для расчета того, как давно было установлено значение «Пользователь должен сменить пароль при следующем входе в систему». 

Get-ADReplicationAttributeMetadata -Object "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" -Server CONTOSOMDDC1

AttributeName                                    : pwdLastSet
AttributeValue                                   : 0
FirstOriginatingCreateTime                       :
IsLinkValue                                      : False
LastOriginatingChangeDirectoryServerIdentity     : CN=NTDS Settings,CN=CONTOSOMDDC1,CN=Servers,CN=CONTOSO-MDSite,CN=Sit
                                                   es,CN=Configuration,DC=contoso,DC=com
LastOriginatingChangeDirectoryServerInvocationId : 4b6342cb-0853-493b-8485-991d9768fba3
LastOriginatingChangeTime                        : 2017-01-06 9:47:30 AM
LastOriginatingChangeUsn                         : 3256879
LastOriginatingDeleteTime                        :
LocalChangeUsn                                   : 3256879
Object                                           : CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com
Server                                           : CONTOSOMDDC1.contoso.com
Version                                          : 5

Get-ADReplicationAttributeMetadata
https://technet.microsoft.com/en-us/library/hh852209(v=wps.630).aspx

При использовании операционной системы нижнего уровня можно использовать repadmin: 

repadmin /showobjmeta CONTOSOMDDC1 "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" | findstr /i pwdLastSet  

3256879               CONTOSO-MDSite\CONTOSOMDDC1   3256879 2017-01-06 09:47:30    5 pwdLastSet