Active directory msDS UserPasswordExpiryTimeComputed全局编录复制
我目前正试图找出广告用户密码的有效期 使用许多页面上描述的方法,例如,在AD中的用户或组使用不遵循用户域密码策略的细粒度密码策略之前,可以正常工作 我发现了一个名为msDS UserPasswordExpiryTimeCompute的属性,该属性可以在不进行任何计算的情况下计算出所有结果 在我们使用全局编录之前,这是很好的,因为默认情况下不会复制此属性。尝试在全局编录中复制msDS UserPasswordExpiryTimeComputed属性时,出现以下错误:Active directory msDS UserPasswordExpiryTimeComputed全局编录复制,active-directory,Active Directory,我目前正试图找出广告用户密码的有效期 使用许多页面上描述的方法,例如,在AD中的用户或组使用不遵循用户域密码策略的细粒度密码策略之前,可以正常工作 我发现了一个名为msDS UserPasswordExpiryTimeCompute的属性,该属性可以在不进行任何计算的情况下计算出所有结果 在我们使用全局编录之前,这是很好的,因为默认情况下不会复制此属性。尝试在全局编录中复制msDS UserPasswordExpiryTimeComputed属性时,出现以下错误: 是否仍然需要复制此属性,或者
是否仍然需要复制此属性,或者我的设置中是否存在不允许复制此属性的错误?考虑到细粒度密码策略,有没有更好的方法来计算用户密码到期时间?我想你不能。我找不到任何权威文件表明这是不可能的,但以下是我认为不可能的原因:
作为一种解决方法,您只需重新绑定到DC即可获得值。您没有说明使用哪种语言,但通常可以选择找到的对象的路径,该路径以“GC://”开头,并将其替换为“LDAP://”。然后获取msDS UserPasswordExpiryTimeComputed的值。我们使用c#检索用户属性。根据您关于使用LDAP而不是GC的建议,如果我可以连接到全局目录,我拥有的凭据是否可以保证我可以直接连接到用户以检索其属性?是的,因为GC根据定义查看整个AD林和林中的每个域,必须相互信任。如果运行此操作的计算机未加入到同一林中的域,或者如果您有奇怪的防火墙规则,只允许命中GC端口(3268)而不允许命中LDAP端口(389),则可能会遇到麻烦。