我们有一些远程工作的用户(在域外),在我设置AD的密码年限(和复杂度)之前,我想知道密码的年龄是否存储在本地,以及login数据。 我想要的最后一件事是为我们的远程用户烦扰任何东西。
我找不到任何暗示它caching在本地的东西(这实际上在我的脑海中是没有意义的),但同样我找不到任何暗示它没有的东西。
任何人都可以为我明确表态吗?
干杯。
我可以通过经验(与域断开连接)确认过期不会影响caching的凭据。
基本上,当密码将过期,我不得不进入新的例如Outlook或OWA,但在笔记本电脑上login到Windows时,我会使用旧的(过期的)密码。
请注意,即使您可以login到Windows本身,某些应用程序可能会遇到过期的密码问题。 Outlook提示,但其他应用程序可能不会。 例如,一旦密码过期,SSRS就停止工作,因为托pipe应用程序只是通过(过期的)Windows凭据,如果它们不起作用,将不会有任何提示。
从networking断开连接时,您不能更改密码,所以没有必要在本地存储此密码。 如果用户试图更改密码,则会因为必须联系域控制器来执行更改而遇到错误。
此外,活动目录中没有“最大年龄”的实际对象,因为它是全局的,所以更进一步的指向不以任何方式存储在本地。
[编辑]:这个答案是基于一种误解。 请参阅Mark Sowuls的答案。
如果您在域策略中设置了密码超时时间,请连接计算机以便提取策略,更改login用户的密码并将计算机置于非现场,您将发现密码在持续时间后过期。 它仍然会给出通常的密码到期通知。
您仍然可以在本地更改密码,然后它将与密码过期的域帐户不同步。
这可以(主要)通过vpnlogin到域连接的terminal服务器并将域用户密码更改为本地计算机上设置的任何密码(到期之前)
或者要求用户访问办公networking进行适当的同步,这往往不能及时完成:-)
正确的用户教育是最大限度地减less对此的支持要求的关键。