Возможно ли в AD изменить время истечения пароля?

Question

[Sevastoporn]

Если у пользователя в Active Directory пароль истекает через 7 дней, возможно ли увеличить срок истечения на допустим 3 дня?

Answer 1

[Вадим Чопоров]

Геморная затея. Может помогу придумать удобный для вас способ:
У УЗ есть свойство pwdLastSet - ровно от этого значения отсчитывается срок действия пароля. Руками взять и поменять это свойство нельзя - можно обмануть. К примеру, чтобы продлить срок действия пароля на установленный срок (в вашем случае еще на 7 дней) - поставьте у УЗ галку "User must change password at next log on" и сохраните УЗ. Потом снова зайдите в свойства, и переставьте на "Other password options" и сохраните. Это действие изменит вышеуказанное поле на текущее время, и отсчет пойдет сначала, при этом пасс останется прежним.
Есть еще Fine-grained password policy - это возможность настраивать гранулярно политики паролей на группы/УЗ. Можно с этим поиграться, добавляя в группы с кастомными настройками, может сделаете нужную логику - но на счет этого варианта не проверял, как оно будет себя вести для УЗ с уже истекшим паролем.
Ну и совсем в лоб - в политике паролей продлить, но тут уже не гранулярно, плюс обновление политик - до 2 часов.

Comments

[Sevastoporn]

Да, действительно слишком замороченно. Вообще в у УЗ есть такой параметр как "Password Expiry Date" вот ему бы как-нибудь передать новое значение.

[Alexey Dmitriev]

Руками поменять pwdLastSet вполне себе можно - в ADUC выбрать Advanced Features в View и в свойствах аккаунта появится Attribute Editor, в котором вполне можно поменять это значение. Оно хранится в внутреннем формате Windows NT time format типа 132119164225555300, который можно перевести в обычный например с помощью команды w32tm.exe /ntte 132119164225555300

[Вадим Чопоров]

Alexey Dmitriev, его можно открыть, якобы, "на редактирование" - но изменения в УЗ нельзя сохранить. Для меня это эквивалентно "нельзя поменять", или под "вполне можно поменять" вы вкладываете другой смысл?
Sevastoporn, такого свойства у УЗ нет - возможно вы имеете ввиду какое то отображение в графической оснастке - в этом случае, это вычисляемое поле от pwdLastSet и срока истечения, согласно политикам. Соответсвенно и меняется оно вышеописанными способами.

[Alexey Dmitriev]

Вадим Чопоров, да вы действительно правы - его можно отредактировать только в -1 (Never expires) например.
Отключить срок действия пароля, а затем просто изменить его когда будет надо вручную.

Answer 2

[mb78]

Продлить действие пароля (вернее сбросить дату последней установки на текущую) можно используя PowerShell (где USERNAME УЗ, которой надо "продлить" пароль):

$usernoun = get-aduser USERNAME -Property *
$usernoun.pwdLastSet = 0
Set-ADUser -Instance $usernoun
$usernoun.pwdLastSet = -1
Set-ADUser -Instance $usernoun