我被要求为我们的(小)Active Directory域提供以下一次性密码场景:每当pipe理员必须手动重置用户密码时,密码只应该是临时的,即用户必须在login,其有效期应仅为24小时。 如果用户在24小时内未login并更改其密码,则该帐户应该被自动禁用。
我已经看到了各种方式来做到这一点,包括使用预定的Powershell脚本,但我似乎无法find任何可以启用此scheme。
在AD中这是可能的吗? 如果是,我该如何执行?
对于pwdLastSet == 0的帐户,您需要检查pwdLastSet上的修改date时间的复制属性元数据。
pwdLastSet复制属性元数据的LastOriginatingChangeTime可用于计算多久之前它被设置为“用户必须在下次login时更改密码”。
Get-ADReplicationAttributeMetadata -Object "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" -Server CONTOSOMDDC1 AttributeName : pwdLastSet AttributeValue : 0 FirstOriginatingCreateTime : IsLinkValue : False LastOriginatingChangeDirectoryServerIdentity : CN=NTDS Settings,CN=CONTOSOMDDC1,CN=Servers,CN=CONTOSO-MDSite,CN=Sit es,CN=Configuration,DC=contoso,DC=com LastOriginatingChangeDirectoryServerInvocationId : 4b6342cb-0853-493b-8485-991d9768fba3 LastOriginatingChangeTime : 2017-01-06 9:47:30 AM LastOriginatingChangeUsn : 3256879 LastOriginatingDeleteTime : LocalChangeUsn : 3256879 Object : CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com Server : CONTOSOMDDC1.contoso.com Version : 5 GET-ADReplicationAttributeMetadata
https://technet.microsoft.com/en-us/library/hh852209(v=wps.630).aspx
如果使用低级操作系统,则可以使用repadmin:
repadmin /showobjmeta CONTOSOMDDC1 "CN=JSmith,OU=Users,OU=HQ,DC=contoso,DC=com" | findstr /i pwdLastSet 3256879 CONTOSO-MDSite\CONTOSOMDDC1 3256879 2017-01-06 09:47:30 5 pwdLastSet