Das Active Directory-Kennwort ist abgelaufen. Kann der Benutzer das gleiche Passwort behalten, wenn ich festgelegt habe, dass es niemals abläuft?

Eine unserer Benutzerinnen befindet sich derzeit in Übersee und ihr Active Directory-Domänenkennwort ist abgelaufen. Sie meldet sich mit einem Laptop mit zwischengespeicherten Anmeldeinformationen und (nicht in AD integriertem) VPN an, kann sich jedoch nicht mit dem abgelaufenen Kennwort bei Dateifreigaben oder Outlook anmelden. Wenn ich das Passwort ändere, mache ich mir Sorgen, dass es für sie Probleme mit der zwischengespeicherten Anmeldung mit dem Laptop gibt, die ich nicht beheben kann, solange sie acht Zeitzonen entfernt ist. Das Flag, das besagt, dass sie ihr Passwort ändern muss, ist bereits gesetzt. Wenn ich ihr Passwort so einstelle, dass es niemals abläuft, kann sie dann das Passwort nicht ändern, oder muss sie es ändern, egal was ich tue?

Eine ähnliche Frage hier zeigt an, dass das Festlegen des Kontos auf Nie ablaufen funktionieren würde, aber ich möchte eine Bestätigung.

Bearbeiten: Die Einstellung "Kennwort läuft nie ab" ist nur gültig, bis sie ins Büro zurückkehrt. Ich versuche nur, sie während ihrer Abwesenheit wieder in das System zu lassen, ohne das Problem zu verschlimmern.

Endgültige Bearbeitung: Das Setzen des Flags "Nie ablaufen" hat das Problem behoben. Der Benutzer behält sein vorhandenes Passwort bei, bis er nächste Woche zurückkehrt.

Ja, das habe ich schon oft gemacht. Wenn das Kennwort bereits abgelaufen ist, wird durch Aktivieren des Kontrollkästchens "Kennwort läuft nie ab" das Kennwort nicht mehr abgelaufen, bis sich der Benutzer auf einer Site mit einem Domänencontroller befindet.

Um das alte abgelaufene Kennwort beizubehalten, setzen Sie es einfach über die Verwaltungskonsole zurück und stellen Sie es so ein, dass es, wie Sie sagten, niemals abläuft. Ich werde nicht auf alle Gründe eingehen, die die meisten von uns nicht tun würden, da ich davon ausgehe, dass Sie Ihre eigenen Gründe haben, das zu tun, was Sie tun.

Obwohl keine direkte Antwort auf Ihre Frage. Auf diese Weise stellen Sie sicher, dass die zwischengespeicherten Anmeldeinformationen nicht synchron sind, wenn ein Benutzer VPN verwendet.

Setzen Sie ihr Passwort für sie zurück - aber erzwingen Sie keine Änderung bei der nächsten Anmeldung. Lassen Sie sie sich mit den aktuell zwischengespeicherten Anmeldeinformationen beim Laptop anmelden und dann VPN in Ihrem Netzwerk. Sobald sie vpn ist, muss sie den Computer sperren und den Computer mit den NEUEN Anmeldeinformationen entsperren. Dadurch wird der lokale Cache aktualisiert und sie kann sich mit dem neuen Kennwort am Computer anmelden. Außerdem können Sie das Kennwort NICHT festlegen, dass das Kennwort nie abläuft. Sie könnte dieses Passwort weiterhin verwenden, bis es wie gewohnt abläuft.

Ich habe die Erfahrung gemacht, dass Sie Ihr Passwort ändern müssen, sobald Sie dazu aufgefordert werden. Einmal geändert, denke ich, Sie könnten es mit wenig bis gar keinem Problem wieder ändern. Aber Sie möchten es wahrscheinlich testen, bevor Sie es mit ihr versuchen.

Und ja, wenn sie wieder gut ist, möchten Sie vielleicht das Flag "Nie ablaufen" setzen.

Der folgende Code kann verwendet werden, um herauszufinden, warum das Kennwort abgelaufen ist.

Es wurde ursprünglich aus dem Active Directory Powershell-Blog in MSDN-Blogs kopiert und eingefügt .

    function Get-XADUserPasswordExpirationDate() {
      Param ([Parameter(Mandatory=$true,  Position=0,  ValueFromPipeline=$true, HelpMessage="Identity of the Account")]
      [Object] $accountIdentity)

      PROCESS {
        $accountObj = Get-ADUser $accountIdentity -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet

        if ($accountObj.PasswordExpired) {
            echo ("Password of account: " + $accountObj.Name + " already expired!")
        } else { 

            if ($accountObj.PasswordNeverExpires) {
                echo ("Password of account: " + $accountObj.Name + " is set to never expires!")
            } else {
                $passwordSetDate = $accountObj.PasswordLastSet

                if ($passwordSetDate -eq $null) {
                    echo ("Password of account: " + $accountObj.Name + " has never been set!")
                }  else {
                    $maxPasswordAgeTimeSpan = $null
                    $dfl = (get-addomain).DomainMode

                    if ($dfl -ge 3) { 
                        ## Greater than Windows2008 domain functional level
                        $accountFGPP = Get-ADUserResultantPasswordPolicy $accountObj

                        if ($accountFGPP -ne $null) {
                            $maxPasswordAgeTimeSpan = $accountFGPP.MaxPasswordAge
                        } else {
                            $maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
                        }
                    } else {
                        $maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
                    }

                    if ($maxPasswordAgeTimeSpan -eq $null -or $maxPasswordAgeTimeSpan.TotalMilliseconds -eq 0) {
                        echo ("MaxPasswordAge is not set for the domain or is set to zero!")
                    } else {
                        echo ("Password of account: " + $accountObj.Name + " expires on: " + ($passwordSetDate + $maxPasswordAgeTimeSpan))
                    }
                }
            }
        }
    }
}