Сбой сброса пароля для конечных пользователей, если минимальный срок действия пароля установлен более чем на 0 дней
Наша служба поддержки уже много лет сбрасывает пароли пользователей с помощью "пользователь должен сбросить пароль при следующем входе в систему".
Недавно сброшена политика домена по умолчанию для "минимального срока действия пароля" с 0 до 5 дней.
Теперь, когда служба технической поддержки сбрасывает пароль пользователя, пользователь должен сбросить пароль, выбранный конечный пользователь получает сообщение об отказе, потому что пароль был сброшен менее чем за 5 дней.
Поиск только показывает, как делегировать разрешения для сброса пароля, что было сделано. Появляется справочная служба смены пароля, флаги сброса пароля такие же, как если бы пользователь сам сбрасывал пароль.
Есть какие-нибудь подсказки?
1 ответ
Это не так - флаг "пользователь должен сменить пароль при следующем входе в систему" pwdLastSet атрибут, так что пользователь вынужден изменить при следующем входе в систему.
Когда это происходит, отметка времени отсутствует, поэтому минимальное возрастное требование всегда считается выполненным. Вы можете проверить это, изменив свой собственный пароль, затем (без выхода из системы) отметив поле "необходимо сменить пароль при следующем входе в систему" в своей учетной записи, а затем снова изменив свой собственный пароль. Это сработает, поскольку временная метка предыдущего изменения пароля будет удалена путем принудительного изменения.
Что действительно происходит (а служба поддержки вводит вас в заблуждение), так это то, что они сбрасывают пароли, не устанавливая флаг "необходимо сменить пароль при следующем входе в систему". pwdLastSet Временная метка затем устанавливается на основе смены пароля, которую реализовала служба поддержки, и пользователь не может изменить пароль.
Если эта политика паролей установлена, то ваша служба поддержки должна быть обучена, чтобы всегда устанавливать флаг - и этот отказ приведет к жалобам пользователей.