Сброс пароля перестал работать для конечных пользователей когда минимальный срок действия пароля, установленный больше 0 дней
Наша Справочная служба сбрасывала пароли пользователя с "пользователем, должен изменить пароль при следующем входе в систему" в течение многих лет.
Недавно доменная политика значения по умолчанию сброса в течение "минимального срока действия пароля" от 0 дней до 5 дней.
Теперь то, когда Справочная служба сбрасывает пароль пользователя с пользователем, должно изменить пароль, выбрал конечного пользователя, получает отклоненное сообщение, потому что пароль был изменен меньше чем за 5 дней.
Поиски только показывают, как делегировать полномочия изменить пароль, который был сделан. Появляется изменение справочной службы пароля отмечает сброс пароля то же, как будто пользователь изменил пароль самостоятельно.
Какие-либо подсказки?
Это не так работает - флаг 'пользователь должен сменить пароль при следующем входе' 0s из атрибута pwdLastSet, так что пользователь будет вынужден сменить пароль при следующем входе в систему.
Когда это происходит, отметки времени нет, так что требование минимального возраста всегда считается выполненным. Вы можете проверить это, сменив свой собственный пароль, затем (не выходя из системы) установив флажок 'must change password at next login' в вашей учетной записи, а затем снова сменив свой собственный пароль. Это сработает, так как временная метка предыдущей смены пароля стирается путем принудительного изменения.
На самом деле происходит (и служба поддержки вводит вас в заблуждение), что они сбрасывают пароли без установки флага 'must change password at next login' (необходимо сменить пароль при следующем входе в систему). Тогда временная метка pwdLastSet устанавливается на основе изменения пароля, реализованного службой поддержки, и пользователь не может изменить пароль.
Если эта политика паролей установлена, то вашу службу поддержки нужно будет обучить, чтобы всегда устанавливать этот флаг - и невыполнение этого требования приведет к жалобам пользователей.
.