Kontrola kont, ktorých atribút pwdlastset má nulovú hodnotu
Prečo vezmite do úvahy toto
Tento príznak v konte môže byť indikátorom zastaraných kont alebo konta vytvoreného bez hesla.
Pozrite si informácie o probléme od zákazníckeho inžiniera
Osvedčené postupy & z kontextu
Používateľské kontá je možné príznakom pwdlastset=0 vybrať za troch podmienok:
- Miesto vytvorenia konta, ale nebolo priradené heslo.
- Miesto vytvorenia konta a priradenia hesla správcom, no pri ďalšom prihlásení vybrali možnosť zmeny hesla.
- Ak správca vybral možnosť požadovania zmeny hesla používateľa pri ďalšom prihlásení v rámci spravovania konta tohto používateľa, napríklad po obnovení hesla.
Táto podmienka je zistená dotazom používateľských kont a vyhľadaním inštancií, kde hodnota pre passwordLastSet je nula.
Mali by ste pravidelne kontrolovať a identifikovať kontá, ktorých atribút pwdlastset je 0. Skontrolujte procesy poskytovania používateľského konta a uistite sa, že medzi poskytovaním nového používateľského konta a prihlásením sa k doméne a vytvorením hesla, ako aj menej bežným stavom konta, ktoré bolo vytvorené bez hesla, nie je neskôr povolené.
Navrhované akcie
Mali by ste pravidelne kontrolovať a identifikovať kontá, v ktorých je pwdlastset=0. Nasledujúci skript obsahuje zoznam všetkých kont, ktoré spĺňajú podmienku tohto pravidla.
Get-ADObject -Filter 'objectcategory -eq "person" -and objectclass -eq "user" -and -not useraccountcontrol -Band 2 -and pwdlastset -eq 0 -and objectsid -notlike "-501""
Skontrolujte, či tieto kontá nie sú zastarané a či je to potrebné, vypnite a odstráňte tieto kontá.
Všeobecné pripomienky týkajúce sa Strediska zdrojov alebo obsahu nám môžete odoslať odpoveď na správu UserVoice. Konkrétne požiadavky a aktualizácie obsahu týkajúce sa centra služieb vám poskytne náš tím podpory a odošliteprípad.