似乎有一个checkbox“强制更改密码”的域帐户和只有一个过期的密码(例如90天后)的帐户之间的细微差别。
有没有办法模拟/强制一个帐户“过期”,而不是更改政策和影响所有帐户? 基于域的function级别有差异吗?
您可以将用户的pwdlastset属性设置为特定的date/时间,从而使其过期。 您可以使用powershell,wsh,vbs,…请注意,但该字段的格式是Integer8
在这两种情况下,都必须更改密码,但不同之处在于,当密码过期时,不能再用于authentication,而需要更改的密码仍然有效。 正如你所说,这是微妙的。
对于testing,我会build议创build一个新的政策,只适用于一个testing帐户,并设置过期时间足够短,有用的testing。
最终的结果是一样的,用户的密码必须改变。
您可以使用PowerShell脚本来更改域中所有用户的设置。
基于function级别没有区别。 function级别只告诉域的域控制器的哪个版本可以在域上。