为什么考虑这种情况
帐户上的此标志可能表示帐户过期,或者在没有密码的情况下创建的帐户。
观看客户工程师解释问题
上下文和最佳做法
在三种情况下,可以将用户帐户标记为 pwdlastset=0:
- 已创建帐户,但没有分配密码。
- 已创建帐户并且管理员已分配了密码,但选择了在下次登录时更改密码选项。
- 管理员已选择了要求用户在下次登录时更改密码的选项,将其作为管理该用户帐户的一部分,例如密码重置之后。
通过查询用户帐户并找出 passwordLastSet 的值为零的实例来检测这种情况。
应该定期扫描并识别 pwdlastset 属性为 0 的帐户。 检查您的用户帐户预配流程,并确保在配置新用户帐户和登录到域并重置其密码的帐户之间没有显著差距,以及在没有密码的情况下创建帐户的不常见情况,然后再启用。
建议措施
应该定期扫描并识别 pwdlastset=0 的帐户。 以下脚本列出了满足此规则条件的所有帐户。
Get-ADObject -Filter 'objectcategory -eq "person" -and objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501"'
检查这些帐户是否已过时,如有必要,禁用然后删除这些帐户。