Наша служба поддержки меняла пароли пользователей с указанием «пользователь должен сбросить пароль при следующем входе в систему» в течение многих лет.
Недавно сбросил политику домена по умолчанию на «минимальный срок действия пароля» с 0 до 5 дней.
Теперь, когда служба поддержки сбрасывает пароль пользователя с выбранным пользователем, он должен сбросить пароль, конечный пользователь получает сообщение об отказе, поскольку пароль был сброшен менее чем за 5 дней.
Поиск только показывает, как делегировать разрешения на сброс пароля, что и было сделано. Появление в службе поддержки смены пароля помечает сброс пароля так же, как если бы пользователь сам сбрасывал пароль.
Какие-нибудь подсказки?
Это не так - флаг «пользователь должен сменить пароль при следующем входе в систему» выставляет 0 pwdLastSet атрибут, так что пользователь будет вынужден изменить при следующем входе в систему.
Когда это происходит, временная метка отсутствует, поэтому минимальный возраст всегда считается соблюденным. Вы можете проверить это, изменив свой собственный пароль, затем (не выходя из системы) установив флажок «Необходимо изменить пароль при следующем входе в систему» в своей учетной записи, а затем снова изменив свой собственный пароль. Это будет работать, так как временная метка вашего предыдущего изменения пароля будет стерта путем принудительного изменения.
Что действительно происходит (и служба поддержки вводит вас в заблуждение) заключается в том, что они сбрасывают пароли без установка флага «необходимо сменить пароль при следующем входе в систему». В pwdLastSet Затем устанавливается временная метка на основе изменения пароля, реализованного службой поддержки, и пользователь не может изменить пароль.
Если эта политика паролей установлена, тогда вашу службу поддержки нужно будет обучить, чтобы всегда устанавливать этот флаг, и это приведет к жалобам пользователей.