Napomena
Za pristup ovoj stranici potrebna je autorizacija. Možete se pokušati prijaviti ili promijeniti direktorije.
Za pristup ovoj stranici potrebna je autorizacija. Možete pokušati promijeniti direktorije.
Zašto razmotriti ovo
Ova zastavica na računu može biti pokazatelj zastarjelog računa ili računa stvorenog bez lozinke.
Pogledajte kako inženjer za korisnike objašnjava problem
Kontekst i najbolje prakse
Korisnički računi mogu se označiti s pwdlastset=0 pod tri uvjeta:
- Gdje je račun kreiran, ali lozinka nije dodijeljena.
- Gdje je račun kreiran, a administrator je dodijelio lozinku, ali je odabrao opciju za promjenu lozinke pri sljedećoj prijavi.
- Ako je administrator odabrao opciju da od korisnika zahtijeva da promijeni lozinku pri sljedećoj prijavi u sklopu upravljanja korisničkim računom, primjerice nakon ponovnog postavljanja lozinke.
Ovaj se uvjet otkriva upitom korisničkih računa i pronalaženjem instanci u kojima je vrijednost za passwordLastSet nula.
Trebali biste redovito pretraživati i identificirati račune čiji je atribut pwdlastset 0. Provjerite postupke dodjele resursa korisničkog računa i uvjerite se da nema značajnog razmaka između dodjele resursa novom korisničkom računu i prijave tog računa u domenu i ponovnog postavljanja lozinke, kao i rjeđeg stanja računa stvorenog bez lozinke, a zatim kasnije omogućenog.
Preporučene radnje
Trebali biste redovito skenirati i identificirati račune na kojima je pwdlastset=0. Sljedeća skripta navodi sve račune koji ispunjavaju uvjet ovog pravila.
Get-ADObject -Filter 'objectcategory -eq "osoba" -i objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501"'
Provjerite jesu li ti računi zastarjeli i ako je potrebno, onemogućite i zatim izbrišite te račune.