Я хотел бы протестировать продукт для сброса пароля, но для этого у меня должны быть просроченные пароли.
Как я могу вручную установить срок действия пароля, не нажимая «необходимо сменить пароль»? (поскольку это технически другой рабочий процесс)
Истечение срока действия учетной записи и истечение срока действия пароля - это не одно и то же.
Срок действия учетной записи установленный момент времени, после которого учетная запись истекает - тот же эффект, что и отключение учетной записи. Аутентификация не выполняется даже после сброса пароля.
Срок действия пароля не устанавливается явно для объекта, но происходит во время аутентификации, когда выполняются следующие условия (первые три значения: NT FileTime интервалы):
maxPwdAge> 0 && (now()-pwdLastSet> maxPwdAge &&!UF_DONT_EXPIRE_PASSWORD)
куда pwdLastSet время последней смены пароля учетной записи, maxPwdAge - максимальный срок действия пароля, действующий для учетной записи.
Когда вы нажимаете "необходимо изменить пароль", pwdLastSet атрибут установлен на 0, что означает, что средняя часть приведенного выше утверждения верна в любое время после 27 сентября 1603 года.
Так что нет, это действительно так то же самое - проверка «Обязательно сменить пароль» и истечение срока действия пароля вручную
Срок действия учетной записи сохраняется в accountExpires атрибут записи LDAP пользователя.
Существует существующая тема StackOverflow о том, как изменить этот атрибут: PowerShell Добавить 1 день в атрибут AccountExpire пользователя AD
Есть два способа (я знаю) проверить срок действия пароля.
Установите максимальный срок действия пароля в политике домена по умолчанию (GPO). Если вы используете Сервер с функциональным уровнем 2008 или новее, вам может потребоваться установить максимальный срок действия пароля в соответствующей тонкой политике паролей (если вы настроили детализированные политики паролей)
Второй вариант не рекомендуется, но вы можете попробовать его, если тестируете на виртуальной машине. Опция - изменить системное время на дату в будущем.
accountExpires Это не то же самое, что дата истечения срока действия пароля из-за политики домена, основанной на естественном возрасте пароля. Это дата истечения срока действия пароля для конкретного пользователя, установленная администратором вручную.
Таким образом, установка для него значения «необходимо изменить при следующем входе в систему» - это единственный способ, которым я вижу, чтобы срок действия пароля истек без того, чтобы:
1-Ожидание времени, прежде чем оно истечет естественным образом через политику домена. 2-Изменение (сокращение) политики домена, чтобы срок ее действия истек естественным образом.