Если для паролей пользователей установлено автоматическое истечение срока действия в домене Windows, влияет ли это на флажок принудительной смены пароля в ADUC?
Предположим следующее:
В домене Windows настроена политика, гарантирующая что пользователи должны сбрасывать свои пароли каждые 90 дней
Учетная запись пользователя (назовем ее «UserA») последний раз меняла свой пароль чуть более 3 месяцев назад, и в результате эта политика срабатывает для их учетной записи - принудительный ввод пароля изменить при следующем входе в систему
В этом случае, если администратор домена должен открыть вкладку «Учетная запись» в диалоговом окне «Свойства» для пользователя A, будет ли установлен флажок «Пользователь должен изменить пароль при следующем входе в систему» - или это параметр в ADUC не влияет политика истечения срока действия пароля домена?
Этот флажок в основном не связан с политикой истечения срока действия пароля. В результате установки этого флажка для атрибута pwdlastset устанавливается значение 0; который фактически вручную истекает срок действия пароля и, соответственно, требует немедленной смены пароля.
Это не может быть выполнено для учетной записи, которая настроена (в учетной записи, а не с помощью политики), чтобы никогда не истекать.
Если администратор установил этот флажок или использовал Powershell для выполнения аналогичной задачи ( Set-AdUser -ChangePasswordAtLogon $ true ) или другого инструмента, а другой администратор открывает свойства учетной записи до смены пароля, поле будет отображаться проверено для другого администратора. По сути, он отображается как отмеченный, только если атрибут равен 0 или -1.
Чтобы более прямо ответить на вопрос, который, я думаю, вы задаете: нет, этот флажок не отражает динамическую оценку даты, когда пароль был последний установить, политику паролей домена, локальную политику безопасности на контроллере домена и любую детальную политику паролей, которой подчиняется учетная запись - это всего лишь инструмент, позволяющий вручную истечь срок действия пароля или сообщить вам, что кто-то вручную срок действия пароля истек.
Я не уверен, какова мотивация этого вопроса, но если речь идет о поиске учетных записей с истекающими паролями - этот флажок вам не поможет.
Я бы не стал играть с этим флажком хотя в попытке понять / устранить неполадки, что он делает; снятие отметки с этого поля (когда он установлен) приводит к тому, что система обновляет атрибут pwdlastset до текущих даты и времени, что эффективно продлевает срок действия текущего пароля.
Обычно нецелесообразно использовать графический интерфейс ADUC для запроса AD любого подходящего размера: использование Powershell для поиска учетных записей, пароли которых слишком старые, обеспечивает действенный вывод для целых OU или даже для всего каталога.
Однако, если у вас нет договорных обязательств по принудительному истечению срока действия пароля, текущие рекомендации имеют тенденцию следовать рекомендациям NIST ; для обеспечения соблюдения надежных и надежных паролей и недопущения истечения срока действия паролей пользователей, если нет доказательств того, что учетная запись была взломана.