можно сбросить часы по просроченному паролю в AD?
У меня есть заказчик, все пользователи которого обращаются к решению через RDP и для которого в AD установлено значение «пароль никогда не истекает».
Мы применяем политику истечения срока действия пароля и вводим самообслуживаемый диспетчер учетных данных, чтобы пользователи могли изменять свой пароль в случае его истечения.
Я заметил, однако, что как только я снимаю флажок «пароль никогда не истекает» для пользователя, этот пользователь сразу не может войти в систему. Если я попытаюсь создать учетную запись локально, мне сообщат, что срок действия пароля истек. Если я войду в AD и изменю пароль, учетная запись сможет войти еще раз.
Если бы мне пришлось угадывать, я бы сказал, что Windows, вероятно, распознает, что мой текущий пароль старше X дней или что-то в этом роде.
Также стоит упомянуть, что для параметра «Срок действия учетной записи» по-прежнему установлено значение «Никогда», но я пытался настроить это на будущее, и это не имело никакого значения.
Что я действительно хочу сделать, так это повернуть время вспять, чтобы, когда я снимаю флажок с опции `` пароль никогда не истекает '', у пользователей был короткий период ... возможно, 7 дней или около того, чтобы обновить свой пароль до истечения срока его действия, и они не могут войти в систему, но в течение этого времени могут сохранить и использовать свой существующий пароль.
Любая помощь приветствуется :)
pwdLastSet Атрибут используется для расчета возраста пароля.
Значение защищено, и единственное значение, которое вы можете установить там, это 0 или -1.
Значение, которое вы ищете, это -1, система установит pwdLastSet на текущую дату / время. Таким образом, 90 дней или любой определенный период времени начнутся заново с самого начала.
0 поступит наоборот, срок действия пароля истечет прямо сейчас.
Вы устанавливаете его на 0 вручную или с помощью сценария, затем устанавливаете его на -1 и снимаете флажок с опции Never Expire после для учетной записи.
Пример, прежде;
После установки в 0 и -1;
