我目前正在尝试找出AD用户的密码到期日期。
使用许多页面上描述的方法,例如here可以正常工作,直到AD中的用户或组使用的细粒度密码策略不遵循用户域密码策略。
我发现了一个名为msDS-UserPasswordExpiryTimeComputed的属性,可以计算出所有内容而无需进行任何计算。
这很好用,直到我们使用全局目录为止,因为默认情况下不会复制此属性。当我尝试在全局目录中复制msDS-UserPasswordExpiryTimeComputed属性时,出现以下错误:
是否仍然可以复制此属性,或者我的设置出现问题,不允许我复制此属性?考虑到细粒度的密码策略,是否有更好的方法来计算用户密码有效期?
答案 0 :(得分:1)
我怀疑你不能。我找不到任何权威性文件说不可能,但是这是我认为不可能的原因:
作为一种解决方法,您可以重新绑定到DC以获得值。您没有说使用哪种语言,但是通常您可以采用找到的对象的路径,该路径以“ GC://”开头,而仅用“ LDAP://”代替。然后获取{{1}}值。