Zásada hesel, která je ve výchozím nastavení povolena ve službě Active Directory, nastavuje maximální věk pro heslo uživatele. Pokud stáří hesla překročí tuto hodnotu, považuje se za prošlé a uživatel jej musí při příštím přihlášení změnit.
Správce může prodloužit datum vypršení platnosti hesla, když uživatel domény nemůže změnit své heslo, jehož platnost vypršela (například když se uživatel připojí k podnikové síti přes VPN nebo RDS), aniž by pro účet povolil možnost Heslo nikdy nevyprší.
Pomocí PowerShellu zkontrolujte datum vypršení platnosti hesla uživatele v AD:
Další informace:Jak obnovit heslo uživatele ve službě Active Directory
Get-ADUser -Identity e.herrmann -Properties msDS-UserPasswordExpiryTimeComputed, PasswordLastSet, PasswordNeverExpires, PasswordExpired |Select-Object -Property Name,PasswordLastSet, PasswordNeverExpires, PasswordExpired,@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
V tomto případě vypršela platnost hesla uživatele (PasswordExpired=True). Datum vypršení platnosti hesla je uloženo ve vypočítaném atributu s názvemmsDS-UserPasswordExpiryTimeComputed. Hodnota tohoto atributu se vypočítá na základě hodnotypwdLastSetparametr a výslednou politiku hesel, která se vztahuje na uživatele.
Get-ADUser e.herrmann -Properties pwdLastSet | select SamAccountName,@{Name="pwdLastSet";Expression={[datetime]::FromFileTime($_.pwdLastSet)}}
Atribut pwdLastSet obsahuje datum ve formátu milisekund (čas systému Windows NT). Může však nabývat jedné z následujících speciálních hodnot:
- 0– resetujte
pwdlastsethodnota (znamená, že heslo nebylo nikdy nastaveno) - -1– resetovat datum změny uživatelského hesla na aktuální čas
Chcete-li změnit hodnotu uživatelského atributu, použijte rutinu Set-ADUser PowerShell. Nejprve musíte nastavit 0 a poté -1.
Set-ADUser e.herrmann -Replace @{pwdLastSet="0"}
Set-ADUser e.herrmann -Replace @{pwdLastSet="-1"}
Nyní zkontrolujeme změnu hesla uživatele a data vypršení platnosti. Datum změny hesla bylo změněno na aktuální datum a datum vypršení platnosti hesla uživatele bylo prodlouženo.
V AD není možné nastavit konkrétní datum změny hesla.
Tuto metodu prodloužení uživatelských hesel lze také použít, pokud plánujete povolit zásadu vypršení platnosti hesla domény poté, co byla uživatelská hesla nastavena tak, aby nikdy nevypršela neboPasswordNeverExpiresmožnost byla povolena. Povolení této zásady přinutí všechny uživatele, aby si změnili hesla současně, což může narušit pracovní procesy. Před použitím této zásady prodlužte všem uživatelům datum vypršení platnosti hesla podle pokynů.
