Active directory msDS UserPasswordExpiryTimeComputed全局编录复制

我目前正试图找出广告用户密码的有效期

使用许多页面上描述的方法，例如，在AD中的用户或组使用不遵循用户域密码策略的细粒度密码策略之前，可以正常工作

我发现了一个名为msDS UserPasswordExpiryTimeCompute的属性，该属性可以在不进行任何计算的情况下计算出所有结果

在我们使用全局编录之前，这是很好的，因为默认情况下不会复制此属性。尝试在全局编录中复制msDS UserPasswordExpiryTimeComputed属性时，出现以下错误：

---

是否仍然需要复制此属性，或者我的设置中是否存在不允许复制此属性的错误？考虑到细粒度密码策略，有没有更好的方法来计算用户密码到期时间？

我想你不能。我找不到任何权威文件表明这是不可能的，但以下是我认为不可能的原因：

属性是构造的，这意味着它没有被存储，但它是在您请求时计算出来的

日期取决于域上的策略，因此返回数据的服务器需要知道用户域上的策略

由于GC可能不在您找到的用户的域中，因此它可能没有计算值所需的信息

---

作为一种解决方法，您只需重新绑定到DC即可获得值。您没有说明使用哪种语言，但通常可以选择找到的对象的路径，该路径以“GC://”开头，并将其替换为“LDAP://”。然后获取msDS UserPasswordExpiryTimeComputed的值。

我们使用c#检索用户属性。根据您关于使用LDAP而不是GC的建议，如果我可以连接到全局目录，我拥有的凭据是否可以保证我可以直接连接到用户以检索其属性？是的，因为GC根据定义查看整个AD林和林中的每个域，必须相互信任。如果运行此操作的计算机未加入到同一林中的域，或者如果您有奇怪的防火墙规则，只允许命中GC端口（3268）而不允许命中LDAP端口（389），则可能会遇到麻烦。