ฉันสังเกตเห็นพฤติกรรมแปลก ๆ ในโดเมนโฆษณาของฉัน
นโยบายรหัสผ่านของเราบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านทุก 3 เดือน
ฉันใช้คำค้นหา LDAP นี้ในโฆษณาของฉันแล้ว:
(&(objectCategory=person)(objectClass=user)(!userAccountControl:1.2.840.113556.1.4.803:=65536)(!userAccountControl:1.2.840.113556.1.4.803:=2)(pwdLastSet<=130256028164025203))
มันค้นหาผู้ใช้ที่ไม่มี "รหัสผ่านไม่หมดอายุ" ซึ่งเปิดใช้งานและครั้งสุดท้ายที่รหัสผ่านของพวกเขาเปลี่ยนไปก่อน 9/7/2013 (ประมาณ 4 เดือนที่ผ่านมา)
ข้อความค้นหานี้พบผู้ใช้หลายร้อยรายที่ไม่ได้เปลี่ยนรหัสผ่านเป็นเวลานานกว่า 4 เดือน
ฉันได้ดูในแอmsDS-UserPasswordExpiryTimeComputedททริบิวต์ด้วยและตั้งค่าเป็น "ไม่" (เฉพาะในผู้ใช้จากข้อความค้นหาเท่านั้น)
ในขณะที่เขียนที่นี่ฉันยังสังเกตเห็นว่าผู้ใช้รายนี้ไม่ได้รับนโยบายรหัสผ่านใด ๆ (แอตทริบิวต์ msDS-PSOApplied ว่างเปล่า) แม้ว่าพวกเขาจะอยู่ภายใต้นโยบายเดียวกันกับผู้ใช้ที่ไม่มีปัญหาอื่น ๆ
ดังนั้นกำไรคือทำไมพวกเขาไม่ได้รับนโยบายรหัสผ่านใด ๆ ในขณะที่ผู้ใช้รายอื่น (ใน OU เดียวกันกลุ่มเดียวกัน ฯลฯ ) ทำอย่างไร