Windowsドメインでパスワードの有効期限(別名、パスワードの最大有効期間)を有効にできます。
いわゆる有効期限の意味については少し戸惑っています。パスワードが本当に期限切れになっていないようです。単純に、最初のログイン時にafter "expiration"の場合、ユーザーは自分のパスワードを変更する必要があります。つまり、パスワードが11月18日に期限切れになった場合でも、11月20日にログインできます(ただし、すぐにパスワードを変更する必要があります)。
ユーザーアカウントは、有効期限日にロックされません(または他の同様の状態)。
これは正しいです?または私は何かを逃したのですか?
はい、そうです。パスワードの有効期限が切れても、ユーザーが実際にロックアウトされたり無効になったりすることはありません。ユーザーは、有効期限が切れた後にログオンすると、パスワードの変更を強制されるだけです。
有効期限が切れた後にユーザーが実際にログインできないようにする必要がある場合は、ユーザーアカウント自体を特定の日付後に期限切れになるように設定できます。しかし、動的な方法ではありません。たとえば、90日以上ログインしていないユーザーアカウントを自動的に無効にしたい場合は、(たとえば)Powershellでスクリプトを作成する必要があります。