Question Le mot de passe Active Directory a expiré. Si je le configure pour qu'il n'expire jamais, l'utilisateur peut-il conserver le même mot de passe?


L'un de nos utilisateurs est actuellement à l'étranger et son mot de passe de domaine Active Directory a expiré. Elle se connecte à l'aide d'un ordinateur portable à l'aide d'informations d'identification mises en cache et d'un VPN (non intégré à AD), mais elle ne peut pas se connecter à des partages de fichiers ni à Outlook avec le mot de passe expiré. Si je change le mot de passe, je crains que cela ne crée pour elle un problème de connexion en cache avec son ordinateur portable, problème que je ne pourrai pas résoudre tant qu'elle sera éloignée de huit fuseaux horaires. Le drapeau indiquant qu'elle doit changer de mot de passe est déjà défini. Si je configure son mot de passe pour qu'il n'expire jamais, cela lui évitera-t-il de devoir le changer ou doit-il le changer quoi que je fasse?

Une question similaire ici indique que la configuration du compte sur N'expire jamais fonctionnerait, mais je voudrais une confirmation.

Modifier: Le paramètre de mot de passe n'expire jamais ne sera en place que jusqu'à son retour au bureau. J'essaie simplement de la laisser rentrer dans le système pendant son absence, sans aggraver le problème.

Dernière édition: La définition de l'indicateur "n'expire jamais" a résolu le problème. L'utilisateur conservera son mot de passe actuel jusqu'à son retour la semaine prochaine.


7
2017-08-10 22:16


origine




Réponses:


Oui, je l'ai fait plusieurs fois. Si le mot de passe est déjà expiré, cochez la case "Le mot de passe n'expire jamais" annulera l'expiration du mot de passe jusqu'à ce que l'utilisateur se trouve sur un site doté d'un contrôleur de domaine.


8
2017-08-11 02:08





Pour conserver l'ancien mot de passe arrivé à expiration, réinitialisez-le simplement à l'aide de la console de gestion et configurez-le pour qu'il n'expire jamais, comme vous l'avez dit. Je n'entrerai pas dans toutes les raisons pour lesquelles la plupart d'entre nous ne le ferions pas, car je suppose que vous avez vos propres raisons pour faire ce que vous faites.


2
2017-08-11 00:45



En fait, il les a énumérés dans le message d'origine, il n'y a donc rien à supposer. - MDMarra


Bien que ce ne soit pas une réponse directe à votre question. Voici comment vous vous occupez des informations d'identification mises en cache qui ne sont pas synchronisées lorsqu'un utilisateur utilise vpn.

Allez-y et réinitialisez son mot de passe pour elle - mais ne forcez pas le changement lors de la prochaine connexion. Demandez-lui de se connecter à l'ordinateur portable avec les informations d'identification mises en cache actuelles, puis VPN sur votre réseau. Une fois qu'elle est vpn en lui faire verrouiller l'ordinateur, puis déverrouiller l'ordinateur avec les nouvelles informations d'identification. Cela mettra à jour le cache local et lui permettra de se connecter à la machine avec le nouveau mot de passe, et ne vous laissera PAS définir le mot de passe n'expire jamais. Elle pourrait continuer à utiliser ce mot de passe jusqu'à ce qu'il expire normalement.


1
2017-08-11 15:48



Si le contrôleur de domaine doit être accessible via le VPN (ce qui est nécessaire pour la suggestion de verrouillage / déverrouillage que vous avez), pourquoi ne pas simplement continuer et changer le mot de passe? Si vous modifiez le mot de passe, le nouveau mot de passe sera toujours mis en cache, de sorte que les ouvertures de session en cache fonctionneront correctement. - Nasko


Mon expérience est qu’une fois que vous avez besoin de changer votre mot de passe, vous devez le changer. Une fois changé, je pense que vous pourriez * le modifier sans problème. Mais vous voudrez probablement le tester avant de l'essayer avec elle.

Et oui, une fois qu'elle sera redevenue bonne, vous voudrez peut-être envisager de définir le drapeau Never Expire.


0
2017-08-10 22:27





Le code suivant peut être utilisé pour trouver pourquoi le mot de passe a expiré.

Il a été copié et collé à partir de le blog Active Directory Powershell sur les blogs MSDN.

    function Get-XADUserPasswordExpirationDate() {
      Param ([Parameter(Mandatory=$true,  Position=0,  ValueFromPipeline=$true, HelpMessage="Identity of the Account")]
      [Object] $accountIdentity)

      PROCESS {
        $accountObj = Get-ADUser $accountIdentity -properties PasswordExpired, PasswordNeverExpires, PasswordLastSet

        if ($accountObj.PasswordExpired) {
            echo ("Password of account: " + $accountObj.Name + " already expired!")
        } else { 

            if ($accountObj.PasswordNeverExpires) {
                echo ("Password of account: " + $accountObj.Name + " is set to never expires!")
            } else {
                $passwordSetDate = $accountObj.PasswordLastSet

                if ($passwordSetDate -eq $null) {
                    echo ("Password of account: " + $accountObj.Name + " has never been set!")
                }  else {
                    $maxPasswordAgeTimeSpan = $null
                    $dfl = (get-addomain).DomainMode

                    if ($dfl -ge 3) { 
                        ## Greater than Windows2008 domain functional level
                        $accountFGPP = Get-ADUserResultantPasswordPolicy $accountObj

                        if ($accountFGPP -ne $null) {
                            $maxPasswordAgeTimeSpan = $accountFGPP.MaxPasswordAge
                        } else {
                            $maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
                        }
                    } else {
                        $maxPasswordAgeTimeSpan = (Get-ADDefaultDomainPasswordPolicy).MaxPasswordAge
                    }

                    if ($maxPasswordAgeTimeSpan -eq $null -or $maxPasswordAgeTimeSpan.TotalMilliseconds -eq 0) {
                        echo ("MaxPasswordAge is not set for the domain or is set to zero!")
                    } else {
                        echo ("Password of account: " + $accountObj.Name + " expires on: " + ($passwordSetDate + $maxPasswordAgeTimeSpan))
                    }
                }
            }
        }
    }
}

0
2018-01-18 11:15



Même si cela ne répond pas à la question du PO, si vous voulez simplement copier / coller code de MSDN, ou d'autres sites, s'il vous plaît au moins attribuer la source. - jscott