Xem lại các tài khoản có thuộc tính "pwdlastset" có giá trị không
Tại sao hãy xem xét điều này
Cờ này trên một tài khoản có thể là một dấu hiệu của một tài khoản cũ hoặc một tài khoản được tạo mà không có mật khẩu.
Xem Kỹ sư khách hàng giải thích sự cố
Các phương pháp & nhất của Ngữ cảnh
Tài khoản người dùng có thể được gắn cờ với pwdlastset=0 trong ba điều kiện:
- Nơi tài khoản đã được tạo nhưng mật khẩu chưa được gán.
- Khi một tài khoản đã được tạo và người quản trị đã gán mật khẩu, nhưng đã chọn tùy chọn thay đổi mật khẩu khi đăng nhập tiếp theo.
- Khi người quản trị đã chọn tùy chọn yêu cầu người dùng thay đổi mật khẩu của họ tại đăng nhập tiếp theo như một phần của việc quản lý tài khoản của người dùng đó, chẳng hạn như sau khi đặt lại mật khẩu.
Điều kiện này được phát hiện bằng cách truy vấn các tài khoản người dùng và tìm ra các trường hợp mà giá trị cho passwordLastSet là không.
Bạn nên thường xuyên quét và xác định các tài khoản có thuộc tính pwdlastset là 0. Kiểm tra quá trình cung cấp tài khoản người dùng của bạn và đảm bảo rằng không có khoảng cách đáng kể giữa việc cung cấp một tài khoản người dùng mới và tài khoản đó đăng nhập vào tên miền và đặt lại mật khẩu của nó, cũng như điều kiện ít phổ biến hơn của một tài khoản được tạo ra không có mật khẩu, sau đó được kích hoạt sau đó.
Hành động được Đề xuất
Bạn nên thường xuyên quét và xác định các tài khoản có pwdlastset=0. Script sau liệt kê tất cả các tài khoản đáp ứng điều kiện của quy tắc này.
Get-ADObject -Filter 'objectcategory -eq "person" -and objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501"'
Kiểm tra các tài khoản này không phải là cũ và nếu cần thiết, vô hiệu hóa và sau đó xóa các tài khoản này.