Editando manualmente uma data de expiração da conta de usuário do AD?

Question

Editando manualmente uma data de expiração da conta de usuário do AD?

#1 resposta do (4 votos)
#2 resposta do (2 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

5

Gostaria de testar um produto de redefinição de senha, mas precisa ter senhas vencidas para fazer isso.

Como posso definir manualmente uma data de expiração para a senha, sem clicar em "deve alterar a senha"? (já que tecnicamente é um fluxo de trabalho diferente)

active-directory

por random65537 02.12.2013 / 21:21

4 respostas

Tags active-directory

Mais de um alias / apelido por usuário O “zfs receive” é uma operação atômica?

score 4 · Answer 1

Expiração da conta e expiração da senha não é a mesma coisa.

Expiração da conta é um ponto definido no tempo, após o qual a conta expira - o mesmo efeito que desabilitar uma conta. A autenticação falha, mesmo depois que a senha é redefinida.

Expiração de senha não é explicitamente definida no objeto, mas ocorre durante a autenticação quando as seguintes condições forem verdadeiras (os três primeiros valores são NT FileTime ):

maxPwdAge> 0 && (now() - pwdLastSet> maxPwdAge && !UF_DONT_EXPIRE_PASSWORD)

Onde pwdLastSet é o tempo que a senha da conta foi alterada pela última vez, maxPwdAge é a Idade máxima da senha em vigor para a conta.

Quando você clica em "deve alterar a senha", o atributo pwdLastSet é definido como 0 , o que significa que a parte intermediária da declaração acima é verdadeira a qualquer momento após o 27 de outubro de 1603.

Portanto, não, é realmente a mesma coisa - verificar "deve alterar a senha" e expirar uma senha manualmente

score 2 · Answer 2

A expiração da conta é armazenada no atributo accountExpires do registro LDAP do usuário.

Existe um tópico do StackOverflow sobre como modificar este atributo: PowerShell Adicione 1 dia ao atributo AccountExpire de um usuário do AD

score 0 · Answer 3

Existem duas maneiras (eu sei) para testar a expiração da senha.

Defina o campo de idade máxima da senha da Diretiva de Domínio Padrão (GPO). Se você estiver usando o Servidor com nível funcional 2008 ou posterior, pode ser necessário definir a duração máxima da senha na política de senha refinada (se você tiver configurado políticas de senha refinadas)
A segunda opção não é recomendada, mas você pode testá-la se estiver testando em uma máquina virtual. A opção é alterar a hora do sistema para uma data futura.

score 0 · Answer 4

contaExpires Esta não é a mesma data em que uma senha expirará devido à política de domínio com base na idade natural da senha. Esta é uma data de expiração manual de uma senha para um usuário específico definida por um administrador.

Portanto, configurá-lo como "deve mudar no próximo logon" é a única maneira que vejo para expirar uma senha sem:

1-Aguardando o tempo antes que ele expire naturalmente por meio da política de domínio. 2-Alterar (encurtar) a política do domínio para que ela expire naturalmente.