我想不出更好的标题,所以这是我想在 Active Directory (Windows 2008 R2) 中做的事情:
用户忘记了他的密码,并要求管理员将他的密码设置为一个新的、随机生成的密码。使用这个随机密码,用户再次登录并被提示更改他的密码(通过在设置随机密码时将 pwdLastSet 选项设置为 0)。
到目前为止,一切都很好。
有没有办法强制新的随机密码只在一定时间内有效?我能想出的唯一想法是将 accountExpires 属性设置为“now + n hours”,但这会带来一个问题,即一旦用户在给定时间内合法更改密码,我就必须重置此属性框架,我不知道该怎么做。
这完全可能使用 Windows 功能吗?