web-dev-qa-db-ja.com

ADで期限切れのパスワードの時計をリセットできますか?

すべてのユーザーがRDPを介してソリューションにアクセスし、ADですべて「パスワードを無期限にする」に設定されている顧客がいます。

パスワードの有効期限ポリシーを適用し、有効期限が切れた場合にユーザーがパスワードを変更できるようにするセルフサービスの資格情報マネージャーを導入しています。

ただし、ユーザーの[パスワードを無期限にする]をオフにするとすぐに、そのユーザーはすぐにログインできなくなることに気付きました。アカ​​ウントをローカルで試した場合、パスワードの有効期限が切れていることを通知します。 ADにアクセスしてパスワードを変更すると、アカウントはもう一度ログインできます。

推測しなければならないのですが、Windowsはおそらく、現在のパスワードがX日以上前のものであることを認識していると思います。

「アカウントの有効期限」オプションが「なし」に設定されていることにも言及する価値がありますが、これを将来に合わせて調整してみましたが、違いはありませんでした。

enter image description here

私が本当にやりたいことは、「パスワードを無期限にする」オプションをオフにすると、ユーザーが短い期間のように時計を巻き戻すことです...おそらく、有効期限が切れる前にパスワードを更新するために7日程度ログインはできませんが、その間、既存のパスワードを保持して使用できます。

どんな助けもappriciated :)

4
John

pwdLastSet属性は、パスワードの有効期間を計算するために使用されます。

値は保護されており、ここで設定できる唯一の値はまたは-1

検索する値は-1です。システムはpwdLastSetを現在の日付/時刻に設定します。したがって、90日、または定義された期間は、最初から再開されます。

は逆のことを行い、現在パスワードを期限切れにします。

手動でまたはスクリプトを使用して0に設定し、次に-1に設定して、アカウントの後に[無期限]オプションをオフにします。

例、以前;

enter image description here

0に設定した後、-1。

enter image description here

5
yagmoth555