Pastaba
Prieigai prie šio puslapio reikalingas įgaliojimas. Galite bandyti prisijungti arba pakeisti katalogus.
Prieigai prie šio puslapio reikalingas įgaliojimas. Galite bandyti pakeisti katalogus.
Kodėl verta tai apsvarstyti
Ši žymė paskyroje gali būti pasenusios paskyros arba paskyros, sukurtos be slaptažodžio, nurodymas.
Peržiūrėkite klientų inžinierių, paaiškinantį problemą
Kontekstas ir geriausios praktikos
Vartotojų paskyras galima pažymėti pwdlastset=0 trimis sąlygomis:
- Kur paskyra buvo sukurta, bet slaptažodis nepriskirtas.
- Kai paskyra buvo sukurta ir administratorius priskyrė slaptažodį, bet kitą kartą prisijungdami pasirinko parinktį keisti slaptažodį.
- Kai administratorius pasirinko parinktį reikalauti, kad vartotojas keistų savo slaptažodį kito prisijungimo metu, tvarkydamas to vartotojo paskyrą, pvz., po slaptažodžio nustatymo iš naujo.
Ši sąlyga aptinkama pateikiant vartotojų paskyrų užklausas ir ieškant atvejų, kai passwordLastSet reikšmė yra nulis.
Turėtumėte reguliariai ieškoti ir identifikuoti paskyras, kurių atributas pwdlastset yra 0. Patikrinkite savo vartotojo paskyros parengimo procesus ir įsitikinkite, kad nėra didelių tarpų tarp naujos vartotojo paskyros parengimo ir tos paskyros prisijungimo prie domeno ir slaptažodžio nustatymo iš naujo, taip pat ne taip dažnai pasitaikančios paskyros, sukurtos be slaptažodžio, sąlygos, tada vėliau įgalinta.
Siūlomi veiksmai
Turėtumėte reguliariai ieškoti ir identifikuoti paskyras, kuriose pwdlastset=0. Šiame scenarijuje išvardijami visi abonementai, atitinkantys šios taisyklės sąlygą.
Get-ADObject -Filter objectcategory -eq "person" -and objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501"'
Patikrinkite, ar šios paskyros nėra pasenusios ir, jei reikia, išjunkite ir panaikinkite šias paskyras.