Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Dlaczego warto wziąć to pod uwagę
Ta flaga na koncie może wskazywać na nieaktywne konto lub konto utworzone bez hasła.
Obejrzyj, jak Inżynier klienta wyjaśnia problem
Kontekst i Najlepsze Praktyki
Konta użytkowników mogą być oflagowane za pomocą pwdlastset=0 pod trzema warunkami:
- Jeśli konto zostało utworzone, ale nie zostało mu przypisane hasło.
- Jeśli po utworzeniu konta administrator przypisał hasło, ale wybrał opcję zmiany hasła przy następnym logowaniu.
- Jeśli administrator wybrał opcję wymagania od użytkownika zmiany hasła przy następnym logowaniu w ramach zarządzania kontem tego użytkownika, na przykład po zresetowaniu hasła.
Ten warunek jest wykrywany przez wysyłanie zapytań do kont użytkowników i znajdowanie wystąpień, w których wartość passwordLastSet wynosi zero.
Należy regularnie skanować i identyfikować konta, których atrybut pwdlastset wynosi 0. Sprawdź procesy inicjowania obsługi konta użytkownika i upewnij się, że nie ma znaczącej luki między inicjowaniem obsługi nowego konta użytkownika a logowaniem tego konta do domeny i resetowaniem hasła, a także w mniej powszechnym przypadku konta utworzonego bez hasła, a następnie włączonego.
Sugerowane działania
Należy regularnie skanować i identyfikować konta, dla których pwdlastset=0. Poniższy skrypt zawiera listę wszystkich kont spełniających warunek tej reguły.
Get-ADObject -Filter 'objectcategory -eq "person" -and objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501"'
Sprawdź, czy te konta nie są przestarzałe i w razie potrzeby wyłącz, a następnie usuń te konta.