Czy hasło naprawdę wygasa?

9

Można włączyć wygasanie hasła (inaczej maksymalny wiek hasła) w domenie Windows.

Jestem trochę zdziwiony znaczeniem tego tak zwanego wygaśnięcia: wygląda na to, że hasło tak naprawdę nie wygasa. Po prostu przy pierwszym logowaniu po „wygaśnięciu” użytkownik musi zmodyfikować swoje hasło. Innymi słowy, jeśli hasło wygasa 18 listopada, nadal można się zalogować 20 listopada (ale należy natychmiast zmodyfikować jego hasło).

Konto użytkownika nie jest zablokowane (ani w żadnym innym podobnym stanie) w dniu wygaśnięcia.

Czy to jest poprawne? A może coś przeoczyłem?

password windows password-policy Serge Wautier
źródło
Jest to jedna z tych rzeczy, w których należy ustalić, co należy rozumieć przez słowo „wygasło”. Czy hasło wygasło? Użytkownik może zainicjować sesję interaktywną, ale musi natychmiast zmienić hasło. Nie mogą uzyskać dostępu do żadnych zasobów domeny ani ukończyć logowania, dopóki nie zmienią hasła. Czy to odpowiada definicji słowa „wygasł”? Ponadto wygasłe hasło i zablokowane konto to dwie niezależne rzeczy. Jedno niekoniecznie polega na drugim.
joeqwerty

Odpowiedzi:

8

Tak, to prawda, użytkownik nie jest blokowany ani wyłączany po wygaśnięciu hasła, użytkownik jest po prostu zmuszony zmienić hasło po zalogowaniu po upływie daty ważności.

Jeśli potrzebujesz, aby użytkownik nie mógł zalogować się po upływie daty ważności, możesz ustawić, aby samo konto użytkownika wygasło po określonej dacie. Ale nie w sposób dynamiczny. Jeśli chcesz, powiedzmy, automatycznie wyłączać konto użytkownika po tym, jak nie zaloguje się on przez ponad 90 dni, musisz to zrobić za pomocą (na przykład) Powershell.

Ryan Ries
źródło
2
Konto użytkownika nie jest zablokowane, ale użytkownik jest zmuszony zmienić hasło, co oznacza, że ​​nie może uzyskać dostępu do żadnych zasobów domeny, dopóki tego nie zrobi. To może nie spełniać ścisłej definicji słowa „wygasło”, ale dla wszystkich celów i celów hasło nie jest już ważne w celu uzyskania dostępu do zasobów domeny.
joeqwerty
To prawda. Nadal mogę jednak zalogować się do sesji interaktywnej i zostaniesz powitany monitem „zmień hasło teraz”.
Ryan Ries,
2
Nie można ukończyć interaktywnej części logowania bez zmiany hasła i nie można uzyskać dostępu do żadnych zasobów. To nie jest okres karencji: wygasłe hasło pozwala zrobić jedną rzecz, którą jest zmiana.
mfinni