msDS-UserPasswordExpiryTimeComputed全局目录复制

Question

我目前正在尝试找出AD用户的密码到期日期。

使用许多页面上描述的方法，例如here可以正常工作，直到AD中的用户或组使用的细粒度密码策略不遵循用户域密码策略。

我发现了一个名为msDS-UserPasswordExpiryTimeComputed的属性，可以计算出所有内容而无需进行任何计算。

这很好用，直到我们使用全局目录为止，因为默认情况下不会复制此属性。当我尝试在全局目录中复制msDS-UserPasswordExpiryTimeComputed属性时，出现以下错误：

是否仍然可以复制此属性，或者我的设置出现问题，不允许我复制此属性？考虑到细粒度的密码策略，是否有更好的方法来计算用户密码有效期？

Answer 1

我怀疑你不能。我找不到任何权威性文件说不可能，但是这是我认为不可能的原因：

1. 该属性是构造好的，这意味着它不会存储，但是会在您请求时进行计算。
2. 日期取决于域上的策略，因此返回数据的服务器需要了解用户域上的策略。
3. 由于GC可能不在您找到的用户的域中，因此它可能不具备计算值所需的信息。

作为一种解决方法，您可以重新绑定到DC以获得值。您没有说使用哪种语言，但是通常您可以采用找到的对象的路径，该路径以“ GC：//”开头，而仅用“ LDAP：//”代替。然后获取{{1}}值。