Возраст пароля кешируется локально вместе с логином?
У нас есть несколько пользователей, которые работают удаленно (вне домена), и прежде чем я установил возраст (и сложность) пароля в нашей AD, я подумал, хранится ли возраст пароля локально вместе с данными для входа. Последнее, что я хочу, - это что-нибудь для наших удаленных пользователей.
Я не могу найти ничего, что предполагает, что это кеширует это локально (это действительно не имеет смысла в моем уме), но в равной степени я не могу найти ничего, что предполагает, что это не делает.
Кто-нибудь может заявить позицию категорически для меня?
Приветствия.
3 ответа
Я могу подтвердить на своем опыте (работая отдельно от домена), что срок действия не влияет на кэшированные учетные данные.
В основном, когда срок действия пароля истекает, мне нужно будет ввести новый, например, в Outlook или OWA, но при входе в Windows на ноутбуке я буду использовать старый (просроченный) пароль.
Обратите внимание, что даже если вы можете войти в саму Windows, некоторые приложения могут иметь проблемы с паролями с истекшим сроком действия. Outlook запрашивает, однако другие приложения не могут. Например, SSRS перестает работать после истечения срока действия пароля, потому что приложение хостинга просто проходит через (просроченные) учетные данные Windows без последующего запроса, если они не работают.
[РЕДАКТИРОВАТЬ]: Этот ответ основан на неправильном представлении. См ответ Марк Соулс вместо.
Если вы задали срок действия пароля в политике домена, подключите компьютер таким образом, чтобы он принимал политику, изменил пароль вошедшего в систему пользователя и отключил компьютер от сети, срок действия пароля истечет через некоторое время. Это все еще даст обычное уведомление об истечении срока действия пароля.
Вы по-прежнему сможете изменить пароль локально, после чего он будет синхронизирован с учетной записью домена, срок действия пароля которого истекает.
Это (в основном) можно смягчить, войдя на сервер терминалов, подключенных к домену, через vpn и изменив пароль пользователя домена на тот, который вы установили на локальном компьютере (до истечения срока действия)
Или попросите пользователя посетить офисную сеть для правильной синхронизации, что он часто не сможет сделать вовремя:-)
Правильное обучение пользователей является ключом к минимизации вызовов поддержки для этого.
Вы не можете изменить свой пароль при отключении от сети, поэтому нет необходимости хранить этот срок действия пароля локально. Если пользователь попытается изменить свой пароль, он будет встречен с ошибкой, так как он должен связаться с контроллером домена, чтобы выполнить изменение.
Кроме того, в активном каталоге нет действительного объекта с "максимальным возрастом", поскольку он является глобальным, так что, кроме того, это указывает на то, что он никоим образом не хранится локально.