ADで期限切れのパスワードの時計をリセットできますか?
すべてのユーザーがRDPを介してソリューションにアクセスし、ADですべて「パスワードを無期限にする」に設定されている顧客がいます。
パスワードの有効期限ポリシーを適用し、有効期限が切れた場合にユーザーがパスワードを変更できるようにするセルフサービスの資格情報マネージャーを導入しています。
ただし、ユーザーの[パスワードを無期限にする]をオフにするとすぐに、そのユーザーはすぐにログインできなくなることに気付きました。アカウントをローカルで試した場合、パスワードの有効期限が切れていることを通知します。 ADにアクセスしてパスワードを変更すると、アカウントはもう一度ログインできます。
推測しなければならないのですが、Windowsはおそらく、現在のパスワードがX日以上前のものであることを認識していると思います。
「アカウントの有効期限」オプションが「なし」に設定されていることにも言及する価値がありますが、これを将来に合わせて調整してみましたが、違いはありませんでした。
私が本当にやりたいことは、「パスワードを無期限にする」オプションをオフにすると、ユーザーが短い期間のように時計を巻き戻すことです...おそらく、有効期限が切れる前にパスワードを更新するために7日程度ログインはできませんが、その間、既存のパスワードを保持して使用できます。
どんな助けもappriciated :)
pwdLastSet属性は、パスワードの有効期間を計算するために使用されます。
値は保護されており、ここで設定できる唯一の値はまたは-1。
検索する値は-1です。システムはpwdLastSetを現在の日付/時刻に設定します。したがって、90日、または定義された期間は、最初から再開されます。
は逆のことを行い、現在パスワードを期限切れにします。
手動でまたはスクリプトを使用して0に設定し、次に-1に設定して、アカウントの後に[無期限]オプションをオフにします。
例、以前;
0に設定した後、-1。
