내 AD 도메인에서 매우 이상한 행동을 발견했습니다.
우리의 암호 정책은 사용자가 3 개월마다 암호를 변경하도록합니다.
내 광고에서이 LDAP 쿼리를 실행했습니다.
(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=65536)(!userAccountControl:1.2.840.113556.1.4.803:=2)(pwdLastSet<=130256028164025203))
'비밀번호 사용 기한이 만료되지 않음'이없는 사용자를 검색합니다. 비밀번호가 기한이 만료되어 마지막으로 비밀번호가 변경된 시간은 2014 년 9 월 7 일 이전 (약 4 개월 전)입니다.
이 쿼리는 4 개월 이상 암호를 변경하지 않은 수백 명의 사용자를 발견했습니다.
나는 또한 msDS-UserPasswordExpiryTimeComputed 속성이며 "never"로 설정됩니다 (물론 검색어의 사용자 만 해당).
이 글을 쓰면서 다른 문제가없는 사용자와 동일한 정책을 사용하고 있지만이 사용자는 암호 정책 (msDS-PSOApplied 특성이 비어 있음)을 얻지 못한다는 사실도 알게되었습니다.
그래서, 최종 사용자는 다른 OU, 같은 그룹 등에서 다른 사용자가 암호 정책을 얻지 못하는 이유가 무엇입니까?