Срок действия пароля действительно истекает?

9

Можно включить срок действия пароля (он же максимальный возраст пароля) в домене Windows.

Я немного озадачен тем, что означает так называемое истечение срока действия: похоже, срок действия пароля действительно не истек. Просто, при первом входе в систему после истечения срока действия, пользователь должен изменить свой пароль. Другими словами, если срок действия пароля истекает 18 ноября, он все равно может войти в систему 20 ноября (но затем должен немедленно изменить свой пароль).

Учетная запись пользователя не заблокирована (или любое другое подобное состояние) на дату истечения срока действия.

Это правильно? Или я что-то пропустил?

password windows password-policy Серж Вотье
источник
Это одна из тех вещей, где необходимо определить, что подразумевается под словом «истек». Срок действия пароля истек? Пользователь может инициировать интерактивный сеанс, но он вынужден немедленно изменить свой пароль. Они не могут получить доступ к каким-либо ресурсам домена или завершить вход в систему, пока не изменят свой пароль. Это соответствует определению слова «истек»? Кроме того, просроченный пароль и заблокированная учетная запись - это две независимые вещи. Один не обязательно полагаться на другого.
Joeqwerty

Ответы:

8

Да, это правда, пользователь фактически не блокируется или не отключается после истечения срока действия пароля, пользователь просто вынужден изменить свой пароль после входа в систему после истечения срока действия.

Если вам нужно, чтобы пользователь фактически не смог войти в систему после истечения срока действия, вы можете настроить срок действия самой учетной записи пользователя после определенной даты. Но не динамично. Если вы хотите, скажем, автоматически отключить учетную запись пользователя после того, как он не вошел в систему в течение более 90 дней, вам нужно будет написать это с помощью (например) Powershell.

Райан Райс
источник
2
Учетная запись пользователя не заблокирована, но пользователь вынужден сменить пароль, что означает, что он не может получить доступ к каким-либо ресурсам домена, пока не сделает этого. Это может не соответствовать строгому определению слова «expired», но для всех целей и задач пароль более недействителен для доступа к ресурсам домена.
Joeqwerty
Это правда. Однако я все еще могу войти в интерактивную сессию и получить приглашение «смените пароль сейчас».
Райан Райс
2
Вы не можете завершить интерактивную часть входа в систему без изменения пароля, и вы не можете получить доступ к любым ресурсам. Это не льготный период: этот просроченный пароль позволяет вам сделать одну вещь - изменить его.
mfinni