La password scade davvero?

9

È possibile abilitare la scadenza della password (ovvero la durata massima della password) su un dominio Windows.

Sono un po 'perplesso sul significato di quella cosiddetta scadenza: sembra che la password non scada veramente. Semplicemente, al primo accesso dopo "scadenza", l'utente deve modificare la propria password. In altre parole, se la password scade il 18 novembre, si può ancora accedere il 20 novembre (ma è necessario modificare immediatamente la propria password).

L'account utente non è bloccato (o qualsiasi altro stato simile) alla data di scadenza.

È corretto? O mi sono perso qualcosa?

password  windows  password-policy 
Serge Wautier
fonte
Questa è una di quelle cose in cui si deve prendere la decisione su cosa si intende con la parola "scaduto". La password è scaduta? Bene, l'utente può avviare una sessione interattiva ma è costretto a cambiare immediatamente la propria password. Non possono accedere a risorse di dominio o completare l'accesso fino a quando non cambiano la password. Ciò soddisfa la definizione della parola "scaduto"? Inoltre, una password scaduta e un account bloccato sono due cose indipendenti. Uno non si basa necessariamente sull'altro.
joeqwerty,

Risposte:

8

Sì, è vero, l'utente non è effettivamente bloccato o disabilitato una volta scaduta la password, l'utente è semplicemente costretto a cambiare la propria password una volta effettuato l'accesso dopo la data di scadenza.

Se è necessario che l'utente non riesca effettivamente ad accedere dopo una data di scadenza, è possibile impostare la scadenza dell'account utente stesso dopo una determinata data. Ma non in modo dinamico. Se si desidera, ad esempio, disabilitare automaticamente l'account utente dopo che non hanno effettuato l'accesso per oltre 90 giorni, è necessario copiarlo con (ad esempio) Powershell.

Ryan Ries
fonte
2
L'account utente non è bloccato ma l'utente è costretto a modificare la password, il che significa che non potranno accedere a risorse di dominio fino a quando non lo fanno. Ciò potrebbe non soddisfare la definizione rigorosa della parola "scaduto", ma a tutti gli effetti la password non è più valida per accedere alle risorse del dominio.
joeqwerty,
Questo è vero. Posso comunque accedere a una sessione interattiva ed essere accolto con un prompt "cambia password ora".
Ryan Ries,
2
Non è possibile completare la parte di accesso interattivo senza modificare la password e non è possibile accedere a nessuna risorsa. Non è un periodo di grazia: quella password scaduta ti consente di fare una cosa, che è cambiarla.
mfinni,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.